Jayway

LV0
发表了文章

Java代码审计汇总系列(七)——XSS

xss漏洞是指对于和后端有交互的地方没有做参数的接收和输入输出过滤,导致恶意攻击者可以插入一些恶意的js语句来获取应用的敏感信息,黑盒系列可见:浏览器解析...

Jayway
HTML安全网站JSP网络安全
发表了文章

Java代码审计汇总系列(五)——文件相关

由于部分web系统可能存在隐藏的、仅在后端执行的如上传下载等文件操作接口,仅通过黑盒测试方法对界面可视的文件功能点进行测试,无法全面覆盖,从代码层面可以更快更全...

Jayway
网络安全安全
发表了文章

Java代码审计汇总系列(六)——RCE

任意代码执行(Remote Code Execution)是危害最为严重的漏洞之一,挖掘难度也是相对高的,除了常见的文件上传漏洞,还有OS命令注入、表达式注入、...

Jayway
网络安全安全JavaHTMLApache
发表了文章

Java代码审计汇总系列(四)——反序列化

不安全的反序列化(Insecure Deserializations)在最新的OWASP Top 10列表中列于A8。这个漏洞的本质和其他漏洞其实基本相同,是在...

Jayway
文件存储安全JavaJDKJSON
发表了文章

Java代码审计汇总系列(三)——SSRF

上一篇讲过XXE注入,与其密切相关的一个漏洞就是SSRF,这个漏洞形成的原因是大都由于代码中提供了从其他服务器应用获取数据的功能但没有对目标地址做过滤与限制。比...

Jayway
安全HTMLHTTPhttpsJava
发表了文章

Java代码审计汇总系列(二)——XXE注入

OWASP Top 10中的另一个注入漏洞是XML外部实体注入(XXE),它是在解析XML输入时产生的一种漏洞,漏洞原理和黑盒挖掘技巧见之前的文章:XML外部实...

Jayway
XML网络安全安全Java
发表了文章

Java代码审计汇总系列(一)——SQL注入

相比黑盒渗透的漏洞挖掘方式,代码审计具有更高的可靠性和针对性,更多的是依靠对代码、架构的理解;使用的审计工具一般选择Eclipse或IDEA;审计工作过程主要...

Jayway
SQL安全MyBatis网络安全Java
订阅了专栏

腾讯云自媒体分享计划

2 文章2.5K 关注者
关注了用户

腾讯云自媒体分享计划

腾讯 · 产品运营 (已认证)

申请条件:至少有 20 篇或以上符合投稿要求可迁入腾讯云专栏的原创技术文章。

2 文章0 回答2.5K 关注者
发表了文章

APP端测试系列(3)——客户端安全

在APP测试的第三部分之前插播一个新闻《自学黑客薅羊毛,薅出玫瑰金手镯》,一个通过测试APP客户端,绕过验证注册二十万账号,从而获利六万余元最终喜获金手镯的...

Jayway
测试服务 WeTest数据库SQL打包JAR
发表了文章

APP端测试系列(2)——服务端安全

包括密码复杂度(弱口令)、多因素检验(验证码)、失败锁定机制、单点登录限制等方面;

Jayway
安全测试服务 WeTesthttps网络安全数据库
发表了文章

APP端测试系列(1)——通信安全

关于APK包、Android架构等基础知识这里先不做介绍,直接介绍测试项和测试方法。

Jayway
测试服务 WeTestAndroid数据分析SSL 证书爬虫
发表了文章

CORS配置不当—挖掘技巧及实战案例全汇总

CORS,即跨源资源共享(Cross-Origin Resource Sharing)。同源策略(Same OriginPolicy)要求不同源之间是无法通信的...

Jayway
Access安全https网络安全
发表了文章

信息泄露(Information Exposure)挖掘及实战案例全汇总

信息泄露(InformationExposure)漏洞是有意或无意地向未明确授权访问该信息的行为者披露信息。信息泄露是最为常见和普遍的漏洞之一,漏洞出现的位置、...

Jayway
安全CSS测试服务 WeTesthttps网络安全
发表了文章

跨站请求伪造(CSRF)挖掘技巧及实战案例全汇总

Cross-Site Request Forgery跨站请求伪造漏洞,简称CSRF或XSRF,强制最终用户在当前对其进行身份验证的Web应用程序上执行不需要的操...

Jayway
安全https网络安全HTML网站

个人简介

个人成就

  • 获得 64 次赞同
  • 文章被阅读 5.1K 次

扫码关注云+社区

领取腾讯云代金券