2020-12-13 阅读(686)

通达OA是一种利用较为广泛的办公系统。由于使用uid作为身份标识，攻击者可以通过构造 恶意请求，直接绕过登录认证逻辑，将网站管理员身份伪装成登录OA系统。通达OA官方网站 安全...

2020-12-12 阅读(247)

通过查看应用日志，可以了解Java程序所执行的业务级别的操作，但是由于缺乏相应的系 统行为日志，很难根据特定日志快速判断Java程序是否存在异常行为。下面是一些轻量级的 、可快...

2020-12-12 阅读(56)

通过查看应用日志，可以了解Java程序所执行的业务级别的操作，但是由于缺乏相应的系 统行为日志，很难根据特定日志快速判断Java程序是否存在异常行为。下面是一些轻量级的 、可快...

2020-12-11 阅读(630)

有一天在对客户代码进行安全测试时，找到了可以执行js代码的地方，然后通过代码审计发 现有命令执行。公司作为甲方的安全人员，如何攻击和修复需要考虑。边想着如何让开发如何...

2020-12-05 阅读(684)

如果写请求接口的级别过高，首先比较两个请求的返回是否一致。如果两个请求都成功并 且回报一致，则可能存在越权的风险。例如，更新商品信息可能会返回商品不存在或未经授权...

2020-12-05 阅读(937)

水平越权检测，返回的结果多种多样，这就给判断越权带来很大困难。当前的解决方案是 ，确定接口的不同行为，然后采取不同的策略以提高准确性。采用规则设置和算法优化，使界...

2020-12-05 阅读(771)

为了更有效地发现问题，需要在尽可能少的请求中发现尽可能多的问题。因此，当获得请求 时，并非所有请求都按原样处理，而是采用批量获取，然后根据接口名称对其进行分组，对每...

2020-12-04 阅读(856)

关于流量获取，首先要考虑的是环境问题：在哪个环境中获得请求，然后返回到哪个环境中。 由于水平越权地访问写入接口可能会导致脏数据，因此整个扫描环境都选择在测试环境中。...

2020-12-04 阅读(387)

网络上，大家经常可以看到数据库被脱裤、用户信息泄露等由于安全漏洞引发的问题，给用 户和企业都带来了很大的损失。由于公司业务发展迅速，功能不断增加，用户数量不断增加，...

2020-12-03 阅读(304)

数据库作为重要信息的承载主体，存储各种业务信息，直接关系到一个部门能否正常运行， 因此保证数据库的安全是非常重要的。数据库建立后，无论是否访问应用系统，都有安全风险...