十八、内存 描述 越界读取 内存截断 示例 1. PHPftp_genlist() 2. Python Hotshot 模块 3. Libcurl 越界读取 4. PHP 内存截断 总结 十八、内存 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 描述 缓冲区溢出是一个场景...

在内存中安全的存储敏感数据 详细描述 建议 CWE/OWASP 在内存中安全的存储敏感数据 通常，iOS开发人员会将应用程序设置存储在plist文件中，在某些情况下这可能会受到影响。 详细描述 当应用程序正在使用时，用户或应用程序特定的数据可以存储在RAM中，并且在用户注销或会话超时时不会正确清除。 因为Android将应用程序存储在内存...

Prevent Framing and Clickjacking Details Remediation References CWE/OWASP Prevent Framing and Clickjacking Details Framing involves delivery of a Web/WAP site within an i...

Introduction Communication APIs Web Messaging Cross Origin Resource Sharing WebSockets Server-Sent Events Storage APIs Local Storage Client-side databases Geolocation Web...

避免简单逻辑 详细描述 建议 CWE/OWASP 避免简单逻辑 详细描述 代码中的简单逻辑测试更容易受到攻击。 例如： if sessionIsTrusted == 1 这是一个简单的逻辑测试，如果攻击者可以改变这个值，他们可以绕过安全控制。 苹果iOS被攻击使用这种类型的弱点和Android应用程序已经他们的Dalvik二...

完全验证SSL / TLS 详细描述 常见错误：接受自签名证书 常见错误：设置允许的主机名验证器 建议 一般建议 Android 建议 For iOS 参考 CWE/OWASP 完全验证SSL / TLS 许多应用程序没有正确验证SSL / TLS证书，使他们容易受到中间人（MITM）攻击。 如果应用程序无法正确验证其与服务器的连接...

第一章 基础知识篇 第一章 基础知识篇 1.1 CTF 简介 1.2 学习方法 1.3 Linux 基础 1.4 Web 安全基础 1.4.1 HTML 基础 1.4.2 HTTP 协议基础 1.4.3 JavaScript 基础 1.4.4 常见 Web 服务器基础 1.4.5 OWASP Top Ten Project 漏洞基础...

实现安全数据存储 详细信息 建议 附加分层加密 Android iOS 参考 CWE/OWASP 实现安全数据存储 详细信息 在移动设备上安全地存储数据需要适当的技术。 只要有可能“简单地不要存储或缓存数据” 是避免数据在设备上被获取最直接的方式。 建议 尽量不要存储敏感数据。 减少用户信息存储的方法包括： 仅仅传输和显...

Introduction Items Command Injection SQL Injection Cross-site Scripting (XSS) Sessions Authentication Token Authentication Insecure Direct Object Reference or Forceful Brows...

Introduction Items Command Injection SQL Injection Cross-site Scripting (XSS) Sessions Authentication Token Authentication Insecure Direct Object Reference or Forceful Brows...