4.10. XXE 4.10.1. XML基础 4.10.2. 基本语法 4.10.3. XXE 4.10.4. 攻击方式 4.10.4.1. 拒绝服务攻击 4.10.4.2. 文件读取 4.10.4.3. SSRF 4.10.4.4. RCE 4.10.4.5. XInclude 4.10.5. 参考链接 4.10. XXE ...

典型的安全漏洞 XSS 防范 XSS CSRF 防范 CSRF 典型的安全漏洞 Web 典型的安全漏洞种类很多，如 XSS , CSRF , SQL注入 ,Cross IFrame Trick , clickJacking , 文件上传 等等。下面列举两种客户端常见的安全漏洞。 XSS XSS (Cross Site Scripti...

避免简单逻辑 详细描述 建议 CWE/OWASP 避免简单逻辑 详细描述 代码中的简单逻辑测试更容易受到攻击。 例如： if sessionIsTrusted == 1 这是一个简单的逻辑测试，如果攻击者可以改变这个值，他们可以绕过安全控制。 苹果iOS被攻击使用这种类型的弱点和Android应用程序已经他们的Dalvik二...

重入（ Re-Entrancy ）Bug Re-Entrancy技术 Re-Entrancy 攻击流程 重入（ Re-Entrancy ）Bug 6月9日，开发商Peter Vessenes和Chriseth报告称，大多数基于以太坊的合约管理基金都可能容易受到可以清空合约资金的漏洞<<[2]>>的影响。几天后（6月12日）斯蒂芬·塔尔（Slock...

一些安全问题 XSS的防范 Reflected XSS Stored XSS CSRF 的防范 一些安全问题 Web 应用中存在很多安全风险，这些风险会被黑客利用，轻则篡改网页内容，重则窃取网站内部数据，更为严重的则是在网页中植入恶意代码，使得用户受到侵害。常见的安全漏洞如下： XSS 攻击：对 Web 页面注入脚本，使用 JavaScr...

日志说明 存储路径 日志类型 日志格式 1. 攻击日志格式 2. 安全基线检查日志 日志说明 存储路径 日志类型 日志格式 1. 攻击日志格式 2. 安全基线检查日志 存储路径 OpenRASP 默认会开启文件日志，存储路径如下: Java 版本: <app_home>/rasp/logs/alarm/....

10.16. 在隐式流程中滥用访问令牌假冒资源所有者 10.16. 在隐式流程中滥用访问令牌假冒资源所有者 对于使用隐式流程的公共客户端，本规范没有为客户端提供任何方法来决定访问令牌颁发给的是什么样的客户端。 资源所有者可能通过给攻击者的恶意客户端许可访问令牌自愿委托资源的访问权限。这可能是由于钓鱼或一些其他借口。攻击者也可能通过其他机制窃取令牌。...

第61章 可疑的代码模式 61.1 XOR 指令 61.2 Hand-written assembly code 跟踪时使用幻数 第61章 可疑的代码模式 61.1 XOR 指令 像XOR op这样的指令，op为寄存器(比如，xor eax，eax)通常用于将寄存器的值设置为零，但如果操作数不同，“互斥或”运算将被执行。在普通的程序中...

Splunk 插件说明 插件功能介绍 Splunk 插件说明 点击这里 下载测试数据，测试数据可直接导入 Splunk 插件功能介绍 总览 其中各个图表都可根据自身的的需求，通过Splunk 语法格式聚合搜索出想要的数据，可通过点击编辑按钮进行一系列操作。 1.可通过时间筛选器选择时间区间，所有数据表格都可以共享此筛选器时间，也可以...

Django 3.2.12 版本发行说明 CVE-2022-22818: 可能通过 {% debug %} 模板标签进行跨站脚本攻击 (XSS) 攻击 CVE-2022-23833 : 文件上传中可能存在拒绝服务漏洞。 Django 3.2.12 版本发行说明 2022 年 2 月 1 日 Django 3.2.12 修复了 3.2.11 版本...