WSDL Scanning Web Service描述语言WSDL 就是用机器能阅读的方式提供的一个正式描述文档而基于XML的语言,用于描述Web Service及其函数、参数和返回值。因为是基于XML的,所以WSDL既是机器可阅读的,又是人可阅读的。 This screen is the
Web Services Web Service是基于网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,这些规范使得Web Service能与其他兼容的组件进行互操作。Internet Inter-Orb Protocol(IIOP)都已经发布了很长时间了,但是这些模型都依赖于特殊对象模型协议,而 Web Services 利用 SOAP 和 XML对这些模型在通讯方面作了进一
Malicious execution Malicious File Execution(惡意程式執行),網站引入來自外部的檔案,並且執行其內容,若引入惡意程式碼或惡意連結到正常網頁中,其他瀏覽同一網站的使用者也將深受其害,遭到惡意程式的入侵,甚至成為駭客的魁儡。 Malicious File Execution攻擊手法大多發生於PHP網站程式語言上。 常見缺失 一般最常見的弱點程式碼,利
Insecure Communication 不安全通信 通过抓包的工具就可以把数据包拿到手上,那么回问题就很容易知道了。实验告诫我们明文传输的危险性,使用ssl 登录 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络
Injection flaws Command Injection 命令注入攻击是通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容,而这样就可能会导致恶意命令掌控用户的电脑和他们的网络。 在网页中尝试注入一个操作系统的命令 点击查看,webscarab就会弹出拦截的信息。在w webscarab里修改信息( “ & netst
Denial of service DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DoS餐馆的话,手段会很多,比如霸占着餐桌不结账,堵住餐馆的大门不让路,骚扰餐馆的
Cross-Site Scripting (xss) Phishing with XSS 网络钓鱼与xss 使用<script>alert('xss')</script> 测试 使用<script>function hack(){ alert("Had this been a real attack... Your credentials
Concurrency 并发 它包括通常由于Java静态方法使用不当造成的威胁的安全问题和购物车并发的缺陷 。Web应用程序可以同时处理的HTTP请求 原理: 线程安全是指一个对象或类等领域始终保持有效状态时,由多个线程同时使用。它通常是可以利用加载另一个用户精确地在同一时间在同一页的并发错误 。因为所有的线程共享相同的方法区,方法区是所有类变量存储,多个线程可以尝试同时使用相同的类变量
Buffer Overflow 通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。 通过缓冲区溢出攻击,使程序运行失败、系统宕机、重新启动。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。 无法演示 ……. Code Quality
Authentication flaws 认证缺陷 密码强度 登录网站https://www.cnlab.ch/codecheck. 测试密码破解时间 答案 Forgot Password 原理:利用这个认证密码找回的提问,且提问答案单一性的缺陷,测试出用户的密码。 为了方便早就测试好的认真答案,依次输入red yellow green。 Basic Au
AJAX Security AJAX即“Asynchronous JavaScript and XML”(异步JavaScript和XML),AJAX并非缩写词,而是由Jesse James Gaiiett创造的名词,是指一种创建交互式网页应用的网页开发技术。 AJAX 指异步 JavaScript 及 XML(Asynchronous JavaScript And XML)。 国
Http respone splitting主要分为: 第一步:Http splitting 输入教程里面的数据 foobar Content-Length: 0 HTTP/1.1 200 OK Content-Type: text/html Content-Length: 47 <html>Hacked J</html> webscard的transco
Access Control Flaws (该文转载) 3.1 Using an Access Control Matrix 矩阵暴力破解 课程介绍:一个角色只能访问固定的资源,探索这个web页面的权限规则,只有admin权限的user可以访问'Account Manager' resource. 目标:用非admin 权限的user访问到 'Account Man
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
