2020-12-13 阅读(700)

通达OA是一种利用较为广泛的办公系统。由于使用uid作为身份标识，攻击者可以通过构造 恶意请求，直接绕过登录认证逻辑，将网站管理员身份伪装成登录OA系统。通达OA官方网站 安全...

2020-12-05 阅读(688)

如果写请求接口的级别过高，首先比较两个请求的返回是否一致。如果两个请求都成功并 且回报一致，则可能存在越权的风险。例如，更新商品信息可能会返回商品不存在或未经授权...

2020-12-05 阅读(970)

水平越权检测，返回的结果多种多样，这就给判断越权带来很大困难。当前的解决方案是 ，确定接口的不同行为，然后采取不同的策略以提高准确性。采用规则设置和算法优化，使界...

2020-12-05 阅读(779)

为了更有效地发现问题，需要在尽可能少的请求中发现尽可能多的问题。因此，当获得请求 时，并非所有请求都按原样处理，而是采用批量获取，然后根据接口名称对其进行分组，对每...

2020-08-22 阅读(321)

应邀出席补天七周年主题活动，当补天的新任掌门跟我约饭提及这件事情的那一刻，我是惊 讶的，由于从补天出去以后的全部主题活动我还没出席，上一届的掌门在我此次自主创业的前...

2020-08-19 阅读(964)

密码存储，存储在数据库中的帐户密码不能以纯文本存储，需要加密，md5转换、加盐（相邻 密码等）是常用的加密方法 帐户盗窃的常见原因：密码太常见；密码太简单；拖库；撞库。...

2020-08-15 阅读(202)

漏洞扫描系统水平是一个很广泛的话题讨论，最先应当联想到的是在具有扫描基本构架以后 ，在这一份构架以上应当运载哪几个须要。普遍的须要有企业内部数据网络资产勘测、安全防...

2020-08-12 阅读(292)

国内学习漏洞挖掘的习惯所谓奠定基础，学习各种编程书籍，然后学习漏洞挖掘，问题是 不可能控制学习编程的程度。其次，外国学生通常必须学习这一过程，初学者最好不要上手就...

2020-04-01 阅读(312)

从今年3月份全世界黑客攻击网站分析局势来看，黑客攻击的网站中中国占有了绝大多数。 那麼作为一个公司或是开发公司，如何防止自身的网站黑客攻击，从企业网站建设之初，就应...

2020-03-21 阅读(476)

网站漏洞的扫描与挖掘一般需要90%的技术和10%的运势的。 SINE安全老于在这里先举个网站漏洞的事例： 我读大学的情况下，有一个挺火的网址叫校内网（之后更名叫手机人人网了，都不...