恶意文件访问类漏洞 1. 读文件 1.1 同级目录任意文件读取漏洞测试 1.2 读取WEB-INF/web.xml测试 1.3 跨目录读取敏感文件测试 2. 写文件 2.1 跨目录写入文件测试 2.2 绝对路径写入文件测试 3. 删除文件 3.1 任意文件删除测试 3.2 FileSystem任意文件删除测试 4. 文件/目录复制、移动 ...

9.8 Arpspoof工具 9.8.1 URL流量操纵攻击 9.8.2 端口重定向攻击 9.8.3 捕获并监视无线网络数据 9.8 Arpspoof工具 Arpspoof是一个非常好的ARP欺骗的源代码程序。它的运行不会影响整个网络的通信，该工具通过替换传输中的数据从而达到对目标的欺骗。本节将介绍Arpspoof工具的 使用。 9.8....

对抗性示例生成 威胁模型 快速梯度符号攻击 实现 输入 受攻模型 FGSM 攻击方式 功能验证 启动攻击 结果 准确性 vs Epsilon 对抗性用例样本 接下来的方向 对抗性示例生成 译者：cangyunye 作者: Nathan Inkawhich 如果你正在阅读这篇文章，希望你能理解一些机器学习模型是多...

7.4. ​​ATT&CK 7.4.1. 简介 7.4.2. TTP 7.4.3. 参考链接 7.4. ​​ATT&CK 7.4.1. 简介 MITRE是美国政府资助的一家研究机构，该公司于1958年从MIT分离出来，并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究...

日志说明 存储路径 日志类型 日志格式 1. 攻击日志格式 2. 安全基线检查日志 日志说明 存储路径 OpenRASP 默认会开启文件日志，存储路径如下: Java 版本: <app_home>/rasp/logs/alarm/.log PHP 版本: <openrasp_rootdir>/logs/alarm/*.log 值...

第三章 Android 应用的逆向和审计 3.1 Android 应用程序拆解 3.2 逆向 Android 应用 3.3 使用 Apktool 逆向 Android 应用 3.4 审计 Android 应用 内容供应器泄露 3.5 不安全的文件存储 目录遍历或本地文件包含漏洞 客户端注入攻击 3.6 OWASP 移动 Top10 服务端弱控...

完全验证SSL / TLS 详细描述 常见错误：接受自签名证书 常见错误：设置允许的主机名验证器 建议 一般建议 Android 建议 For iOS 参考 CWE/OWASP 完全验证SSL / TLS 许多应用程序没有正确验证SSL / TLS证书，使他们容易受到中间人（MITM）攻击。 如果应用程序无法正确验证其与服务器的连接...

9.4 避免SQL注入 什么是SQL注入 SQL注入实例 如何预防SQL注入 总结 links 9.4 避免SQL注入 什么是SQL注入 SQL注入攻击（SQL Injection），简称注入攻击，是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获...

JDBC SQL注入 SQL注入示例 字符型注入 快速检测字符串类型注入方式 字符型注入测试 整型注入 快速检测整型注入方式 SQL注入防御 PreparedStatement SQL预编译查询 JDBC预编译 数据库服务器端预编译 客户端预编译 Mysql预编译 JDBC SQL注入总结 JDBC SQL注入 SQL注入(...

邮件头部注入 解决方案 邮件头部注入 邮件头部注入 ：SQL注入的兄弟，是一种通过劫持发送邮件的Web表单的攻击方式。 攻击者能够利用这种技术来通过你的邮件服务器发送垃圾邮件。 在这种攻击面前，任何方式的来自Web表单数据的邮件头部构筑都是非常脆弱的。 让我们看看在我们许多网站中发现的这种攻击的形式。 通常这种攻击会向硬编码邮件地址发送一个消息，...