乡间的小路
乡间的小路
全部文章
安全测试之漏洞...
比特币、区块链科普(9)
测开、测试、安全测试面试技巧与知识纯干货(8)
归档
标签
去牛客网
登录
/
注册
测开、测试、安全测试面试技巧与知识
本人普通院校,所写内容对想要获得中大厂面试与offer的普通院校同学比较有帮助。
全部文章
/ 安全测试之漏洞检测与修复建议
(共22篇)
Web服务器多余端口开放
来自专栏
漏洞描述 Web应用服务器除业务端口外还会开放一些默认端口(如Jboss开放的8083),这些默认端口对最终用户是不需要开放的,而且也不会用于维护,容易被攻击,本测试目的在于发现服务器上未使用的Web端口。 测试方法 1、安装NMAP或者类似的端口扫描工具,进行端口扫描,以下为nma...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
1
939
轻量级目录访问协议(LDAP)注入
来自专栏
漏洞描述: LDAP(Lightweight Directory Access Protocol),轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询。如果在用户可控制的输入中没有对 LDAP 语法进行除去或引用,那么生成的 LDAP 查询可能会导致将这些输入解释为 LDAP...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
2
800
【重要】越权漏洞
来自专栏
漏洞描述: 越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。其与未授权访问有...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
3
1375
买东西商家倒给钱漏洞
来自专栏
漏洞描述: 应用程序未校验订单数据的取值范围,交易值可为负值。 测试方法: 提交订单时拦截请求,修改订单参数为负数,如商品单价、数量、总价等。 漏洞分析: 通过篡改订单参数,使得订单金额为负值,在使用余额支付时余额反而增加。 漏洞等级: 【高危】:未对数据进行校验,导致业务数据被污染。 修复方案: ...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
1
642
绕过原密码修改密码
来自专栏
漏洞描述: 密码修改功能常采用分步骤方式来实现,攻击者在未知原始密码的情况下绕过某些检验步骤修改用户密码。 测试方法: 1.完成修改/重置密码的正常流程;2.绕过检验原密码等步骤,直接访问输入新密码页面,输入新密码,修改/重置密码。 漏洞分析: 有些密码修改/重置流程采用step=1、step=2类...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
1
1311
多点登录漏洞
来自专栏
漏洞描述: 系统允许多点认证 测试方法: 1.在浏览器A中使用测试账号登录系统;2.同时在浏览器B中使用同一个账号登录系统;3.若在多个浏览器中均可登录同一各账号,说明存在多点认证缺陷。 风险分析: 攻击者在获取到其他用户的账号密码后,可利用该缺陷在用户已登录且未知的情况下进行登录,操作用户账户。 ...
漏洞修复
安全测试
测试
测开
信息安全
网络安全
2021-03-06
1
3091
参数溢出漏洞
来自专栏
漏洞描述: 攻击者在参数中输入超长字符串,导致数据溢出,致使应用或者数据库报错,引发相关信息泄露,或者引起拒绝服务攻击等问题。 测试方法: 在前端可控参数中输入超长字符串 漏洞分析: 攻击者可通过输入参数溢出触发应用服务器异常或服务器拒绝服务,影响系统可用性。 漏洞等级: 【高危】:超长参数导致服务...
漏洞修复
安全测试
测试
测开
信息安全
网络安全
2021-03-06
1
1361
目录遍历漏洞
来自专栏
漏洞描述: 目录遍历漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。 测试方法: 可以利用web漏洞扫描器扫描web系统进行检测,也可通过google hacking技术搜索网站...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
1
1870
redis未授权访问
来自专栏
漏洞描述: Redis未授权访问漏洞。 测试方法: 1.使用RedisDesktopManager客户端工具连接Redis。2.使用nmap中script扫描。 漏洞分析: Redis 默认情况下,会绑定在 0.0.0.0:6379,导致Redis服务暴露到公网上。如果在没有开启认证并且在任意用户可...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
1
694
文件上传漏洞
来自专栏
漏洞描述: 一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求,关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有:1.上传文件WEB脚本语言,服务器的WEB容器解释并执行了用户上传...
漏洞修复
安全测试
测试
信息安全
测开
网络安全
2021-03-06
1
688
首页
上一页
1
2
3
下一页
末页