Category: Note

《OWASP测试指南 4.0》——读书笔记 part 1

OWASP测试指南 4.0 OWASP的宗旨:技术的开放与协作 preface OWASP各个指南 开发指南:指导设计和开发安全的应用程序 代码检测指南:如何为代码做安全检测 测试指南(目前正在看的这个):指导如何验证应用程序的安全性 …

《白帽子讲Web安全》——读书笔记 part 3

十四、PHP安全 1.文件包含漏洞(File Inclusion) (1)导致文件包含的函数 PHP include()、include_once()、require()、require_once()、fopen()、readfile()… JSP/Servlet ava.io.File()、java.io.FileReader()… ASP include fil …

《白帽子讲Web安全》——读书笔记 part 2

 七、注入攻击 注入的本质:把用户的数据当代码执行 两个关键条件: 用户能够控制输入 原本程序要执行的代码,拼接了用户输入的数据 1.SQL注入 (1)盲注(Blind Injection) 构造简单条件语句,根据返回页面是否变化,判断SQL语 …