RC
候选版本
重要提示
欢迎反馈
OWASP计划在2017年6月30日公共评议期结束后,于2017年7月或者8月公布OWASP Top 10 - 2017年度的最终公开发布版。
该版本的OWASP Top 10标志着该项目第十四年提高应用安全风险重要性的意识。该版本遵循2013年更新,2013版的Top 10主要变化是添加了2013-A9使用含有已知漏洞的组件。我们很高兴看到,自2013版Top 10以来,随着自由和商业...
密码保护:鸡肋CSRF和Self-XSS组合的变废为宝
昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这种漏洞,因为这种 CSRF 一般情况下都不会造成什么危害,甚至也不认为是漏洞(之前挖 TSRC 的时候,只要不是敏感操作并且会造成实际危害损失的 CSRF 也一般不会收)。然而刚好上午同事问完,我下午做渗透项目的时候就碰到了一个利用场景了,真的是啪啪啪的打脸。
鸡肋CSRF的场景:
是的,就是上...
WAF攻防之SQL注入篇
0x00 前言
随着国家安全法的出台,网络安全迎来发展的新时期,越来越多企业或政府单位开始重视网络安全。很多网站陆陆续续告别裸奔时代,开始部署web应用防火墙(WAF)以应对网络攻击。由此,相关网站的安全性很大程度上取决于WAF的防护能力,WAF攻防研究已成为安全从业人员的必修课之一。
大多数WAF以规则匹配为基础进行安全防护,少数WAF带有自学习能力,规则维护成为WAF的核心。近年来,基于语义识别的W...
密码保护:挖洞思路:账号攻击的几种常见手法
web 安全事件中,账号,通常是呈现给攻击者的第一接触点,与账号相关的功能若存在缺陷,攻击者可以此获取关键信息和重要功能,如,登录失败的报错信息可判断出是否因账号不存在所致,可被利用枚举有效账号,比如,登录试错无次数限制,可导致暴破密码,又如,注册流程各步骤未严格关联,导致批量注册任意账号,再如,密码找回功能各步骤未严格关联,导致任意账号密码重置。
我在日常渗透时遇到个同时存在这...
SQL注入:9种绕过Web应用程序防火墙的方式
Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用安全漏洞的攻击,如SQL注入,XSS,文件包含和安全配置错误。
WAF是如何工作的?
协议异常检测:拒绝不符合HTTP标准的请求
增强的输入验证:代理和服务器端验证,而...
安全扫描工具Arachni源码分析(一)
Arachni是一个基于Ruby on Rails框架的Web安全漏洞扫描工具。
1. Ruby on Rails
Ruby on Rails ,缩写ROR,是一个Web框架,包括两部分内容: Ruby 语言和 Rails 框架。Ruby一直以来流行于日本,直到2004年,26 岁的丹麦人 David Heinemeier Hansson 提出了Web框架 - Rails。这才让全世界人们,开始了解Ruby和Rails的灵活与高效。
1.1 Ruby
日本人松本行弘( Matsumoto Yukihiro),在 1993 年开始着手...
CRLF Injection漏洞的利用与实例分析
0x00 背景
CRLF Injection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。
CRLF是”回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦我们能够控制HTTP 消息头中的字符,注入一些恶意的换行,...
Python中list与set妙用
set和list是Python常用的结构类型,这里不再多述。本文主要是总结了一些它们配合起来的一些妙用。
(1)去重
比如一个序列:
>>>line = ['a','b','a']
为了去除重复的'a',可以进行如下操作:
>>> list(set(line))
['a', 'b']
(2)提取两个序列中出现过的非重复元素
比如两个序列:
>>> line1=['a','b','a']
>>> line2=['a','c']
为了得到这两个序列中出现的不同元素...
NAMP信息收集7个脚本利用与命令
nmao用于信息收集的7个常用脚本
1、dns-brute.nse
尝试通过暴力猜测常见的子域来枚举DNS主机名。 使用dns-brute.srv参数,dns-brute也会尝试枚举常见的DNS SRV记录。
利用命令: namp --script dns-brute nmap.org
2、traceroute-geolocation.nse
列出traceroute中每一跳的地理位置,并可选择将结果保存到KML文件,可在Google地球和地图上绘制。
从而了解路由跳转节点
具体利用命令: nmap --traceroute...
XML实体注入漏洞攻与防
目录
XML基础
XML实体注入漏洞的几种姿势
防御XML实体注入漏洞
XML基础
XML是一种用于标记电子文件使其具有结构性的标记语言,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XML技术基础我在这里将不在详细解读,有兴趣的小伙伴可以通过如下几个链接去学习...