登陆 注册
  • 从一次开发漏洞看shiro的正确使用

    小威小威 2019-06-03

    事情的起因是帮班级开发了一个管理平台,其中的权限校验部分使用了shiro。上线后有一个同学发现了一个漏洞,可以造成任意用户登录,绕过Api的身份验证。我们在使用shiro进行身份认证时,需要根据自己的需求实现Realm,实现doGetAuthentication(用户身份认证信息)以及doGetAuthorizationInfo(用于权限校验信息)。问题代码...

  • Java random方法的安全问题

    废物麟废物麟 2019-06-03

    前言起源于强网杯的密码学题目random studyjava.util.Random题目中challenge two的主要代码如下:o = subprocess.check_output(["java", "Main"])tmp=[]for i in o.sp...

  • 利用web内径图谱来检测EAR漏洞

    至爱清唇至爱清唇 2019-04-30

    1 前言基于先前所做的研究工作,需要构建web应用的内路径图谱,本意是想构建精确的渗透路径,目前市面上看到大多数扫描器如果能够扫出来漏洞,好一点的可能会将攻击url和攻击参数展示出来,但是局限性就在于如果这个链接需要层层跳转,当用户不能直接访问这个攻击链接的时候,可能用户就会很迷茫:我该如何访问到这个链接?那么构建了web内路径图谱后,我们就可以根据爬虫的爬...

  • web安全漫谈

    WySecWySec 2019-02-11

    不夸张的说,网络安全行业里,web安全方向的人相对来说决定占大头,而web安全工程师又是其中不可缺少,想要成为一名成功的web安全工程师,首先要知道绝对的职位要求,话不多少,网上截两段~1、熟悉常见Windows&linux、Web应用和数据库各种攻击手段;2、熟悉网络安全测试方法、测试用例、漏洞判定准则;3、有实际渗透测试经验,熟悉渗透测试各种提权...

  • web安全之XSS

    M4stM4st 2018-08-04

    XSS: (Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。一、产生原因假如有下面一个textbox<...

  • Web安全漏洞深入分析及其安全编码

    桑云信息Lzers桑云信息Lzers 2018-04-10

    一、Web安全基础1.1 常见的Web安全漏洞1.2 安全编码原则一切输入都是有害的!!!输出也不安全!输入:传参,cookie、session、http header、数据库……输出:异常信息、敏感信息、xss没有绝对的安全……1.3 数据验证1.5 授权管理二、SQL注入及其安全编码2.1 定义SQL注入的定义由于程序中对用...

请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net