乡间的小路

分类

安全测试之漏洞检测与修复建议(22) 比特币、区块链科普(9) 测开、测试、安全测试面试技巧与知识纯干货(8)

/ 注册

TA的专栏 39篇文章 95人订阅

测开，测试，安全测试实习/校招面试技巧与知识纯干货

8篇文章 11419人学习

比特币、区块链知识科普（每周更新，欢迎订阅）

9篇文章 1170人学习

安全测试之漏洞测试与修复建议（每周更新欢迎订阅）

22篇文章 4892人学习

全部文章（共24篇）

登录模块之不适当的系统提示来自专栏

漏洞描述：存在于系统登录页面，利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码，返回不同的出错信息可枚举出系统中存在的账号信息，尤其是在无验证码，无登录次数限制的时候。测试方法： 1、找到网站或者web系统登录页面。2、在web系统登录页面，通过手工方式，利用系统中存在的用户名和不...

漏洞修复安全测试信息安全网络安全

2021-03-06

1 573

信息泄漏之任意文件下载来自专栏

漏洞描述：任意文件下载，此漏洞不仅仅可遍历系统下web中的文件，而且可以浏览或者下载到系统中的文件，攻击人员通过目录遍历攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。测...

漏洞修复安全测试信息安全网络安全

2021-03-06

1 813

信息泄漏之报错页面敏感信息泄漏来自专栏

漏洞描述：错误页面由服务器产生403、404、500，502等错误时，返回详细的错误信息。报错信息中可能会包含服务器代码信息、数据库连接信息、SQL语句、个人信息或者敏感文件的路径，为攻击者收集信息提供了方便。测试方法： 1.通过目录扫描或手工输入不存在的文件或路径，触发服务器产生404错误并返...

漏洞修复安全测试信息安全网络安全

2021-03-06

1 4892

信息泄漏之robots.txt泄漏来自专栏

漏洞描述：搜索引擎可以通过robots文件可以获知哪些页面可以爬取，哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范，其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯，如果robots.txt文件编辑的太过详细，反而会泄露网站的敏感目录或者文件，比如网站后台路径，...

漏洞修复安全测试信息安全网络安全

2021-03-06

1 2304