9.4 避免SQL注入 什么是SQL注入 SQL注入实例 如何预防SQL注入 总结 links 9.4 避免SQL注入 什么是SQL注入 SQL注入攻击（SQL Injection），简称注入攻击，是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获...

保护和执行Web服务的渗透测试 详细描述 建议 参考 CWE/OWASP 保护和执行Web服务的渗透测试 详细描述 已经被攻破的服务器有可能拦截用户凭据并对应用用户发起其他攻击。 建议 一般来说，生产Web服务器必须经过彻底测试和防御恶意攻击。 生产服务器软件应更新到最新版本，并加固以防止有关服务器软件和接口的信息泄露。 身份验证...

邮件头部注入 解决方案 邮件头部注入 邮件头部注入 ：SQL注入的兄弟，是一种通过劫持发送邮件的Web表单的攻击方式。 攻击者能够利用这种技术来通过你的邮件服务器发送垃圾邮件。 在这种攻击面前，任何方式的来自Web表单数据的邮件头部构筑都是非常脆弱的。 让我们看看在我们许多网站中发现的这种攻击的形式。 通常这种攻击会向硬编码邮件地址发送一个消息，...

网络安全 网络安全 安全攻击类型 中断 窃取 篡改 伪造 APT 高级持续性威胁，利用先进的攻击手段和社会工程学方法，对特定目标进行长期持续性渗透和攻击 分五步： 情报收集 防线突破 通道建立 横向渗透 信息收集级外传 暗网 表层网络：任何搜索引擎都能抓取并轻松访问，只战整个网络4%-20% 深网：表层之外的网络，普通搜索...

日志说明 日志类型 日志格式 1. 攻击日志格式 2. 安全基线检查报警日志 日志说明 日志类型 OpenRASP 包含四类日志，均存放于 <app_home>/rasp/logs 目录下 文件名 文件内容 plugin/plugin-DATE.log 检测插件的日志，e.g 插件异常、插件调试输出 rasp...

安装测试用例 下载测试用例 检测能力说明 用例使用说明 攻击拦截说明 FAQ 1. SpringBoot 如何安装 JSP 测试用例？ 安装测试用例 为了验证OpenRASP的漏洞检测效果，或者IAST工具的漏洞检测能力，我们提供了多个测试用例，覆盖常见高危漏洞。测试用例的部署也非常简单，复制到 webroot/webapps 目录即可。...

实施防篡改技术 详细描述 建议 参考 CWE/OWASP 实施防篡改技术 详细描述 攻击者可以在应用上篡改或安装后门，重新签名并将恶意版本发布到第三方应用市场。 这种攻击通常针对流行的应用程序和金融应用程序。 建议 采用防篡改和篡改检测技术来防止非法应用程序执行。 使用校验和，数字签名和其他验证机制来帮助检测文件篡改。 当攻击者试...

安装测试用例 用例使用说明 攻击拦截说明 安装测试用例 为了方便你对软件进行测试，我们提供了一些测试用例。所有测试用例都在页面里附有说明，会告知你如何针对不同的平台，发起攻击，并测试拦截效果。具体有哪些漏洞环境，请参考 GitHub 页面: GitHub 下载 国内下载 源代码下载 另外，在测试的过程中，你可能想要了解我们的检测能力和覆盖...

安装测试用例 用例使用说明 攻击拦截说明 安装测试用例 为了方便你对软件进行测试，我们提供了一些测试用例。所有测试用例都在页面里附有说明，会告知你如何针对不同的平台，发起攻击，并测试拦截效果。具体有哪些漏洞环境，请参考 GitHub 页面 下载最新版本 下载源代码 另外，在测试的过程中，你可能想要了解我们的检测能力和覆盖场景 检测能力，...

后门的种类： 后门的生成大体分4类： 1.有目标源码 2.无目标源码 3.无目标源码，有目标api 当我们接到某个项目的时候，它已经是被入侵了。甚至已经被脱库，或残留后门等持续攻击洗库。 后渗透攻击者的本质是什么？阻止防御者信息搜集，销毁行程记录，隐藏存留文件。 防御者的本质是什么？寻找遗留信息，发现攻击轨迹与样本残留并且阻断再次攻击...