六、HTTP 参数污染 描述 示例 1. HackerOne 社交分享按钮 2. Twitter 取消订阅提醒 3. Twitter Web Intents 总结 六、HTTP 参数污染 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 描述 HTTP 参数污染，或者 HPP，在网站...

10.14. 代码注入和输入验证 10.14. 代码注入和输入验证 代码注入攻击当程序使用的输入或其他外部变量未清洗而导致对程序逻辑的修改时发生。 这可能允许攻击者对应用程序的设备或它的数据的访问权限，导致服务拒绝或引入许多的恶意副作用。 授权服务器和客户端必须清洗（并在可能的情况下验证）收到的任何值—特别是，“state”和“redirect_u...

11. 其他 11. 其他 内容索引: 11.1. 代码审计 11.1.1. 简介 11.1.2. 常用概念 11.1.3. 自动化审计 11.1.4. 手工审计方式 11.1.5. 参考链接 11.2. WAF 11.2.1. 简介 11.2.2. 防护方式 11.2.3. 扫描器防御 11.2.4. WAF指纹 11...

五、HTML 注入 描述 示例 1. Coinbase 评论 2. HackerOne 无意识 HTML 包含 3. WithinSecurity 内容伪造 总结 五、HTML 注入 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 描述 超文本标记语言（HTML）注入有时也被称为虚...

Django 的安全性 防御跨站脚本攻击（XSS） 防御跨站点请求伪造（CSRF） 防御 SQL 注入 防御访问劫持 SSL/HTTPS Host 头部验证 Referrer 策略 Cross-origin opener policy 会话安全 用户上传内容 其他安全性相关主题 Django 的安全性 此文档是对 Django 安...

SQL注入 解决方案 SQL注入 SQL注入 是一个很常见的形式，在SQL注入中，攻击者改变web网页的参数（例如 GET /POST 数据或者URL地址），加入一些其他的SQL片段。 未加处理的网站会将这些信息在后台数据库直接运行。 这种危险通常在由用户输入构造SQL语句时产生。 例如，假设我们要写一个函数，用来从通信录搜索页面收集一系列的...

Odbcconf简介： 配置攻击机msf： 靶机执行：Windows 2003 附： 注： 请多喝点热水或者凉白开，可预防肾结石，通风 等。痛风可伴发肥胖症、高血压病、糖尿病、脂代谢紊乱等多种代谢性疾病。 Odbcconf简介： ODBCCONF.exe是一个命令行工具，允许配置ODBC驱动程序和数据源。 微软官方文档：https://do...

以太坊 PoS 概览：Casper FFG 2. PoW 的缺点 “Final Gadget” 是什么 验证人 成为验证人 为什么收取保证金 以太坊 PoS 概览：Casper FFG 出处: Ethereum PoS Overview: Casper FFG 简单介绍了区块链概念、工作量证明协议的工作原理，以及工作量证明的缺点。...

RASP技术 什么是RASP技术? RASP简介 灵蜥Agent与传统WAF的区别 灵蜥Agent独特防御功能 Agent 缺陷 RASP技术 什么是RASP技术? 最近三五年RASP技术已日渐被人们所接收，国内的各大安全厂商也在不断的完善自身产品。RASP技术触及到了应用程序的底层实现，如何实现一款高稳定性和高可用的RASP产品也就...

其他配置选项 通用配置 插件相关 文件日志相关 syslog 日志相关 拦截相关 其他配置 PHP 版本独立配置 Java 版本独立配置 hooks.ignore 全部可选值 其他配置选项 通用配置 以下配置支持云端下发，也支持单机修改。若开启远程管理，单机配置不会加载；如果没有开启，Java 版本单机配置修改后立即生效，PHP...