作为我工作的一部分,我定期测试web应用程序的漏洞。当涉及到SQL注入时,我的方法是从手动浏览网站开始,然后将我怀疑与数据库交互的参数发送到SQLMap。
现在,我想知道这是否是寻找SQL注入的正确方式?SQLMap是否能够找到大多数类型的SQL注入,或者我是否应该求助于手动测试?
浏览 0提问于2016-05-16得票数 8
1回答
产品比价脚本
、、
您将如何构建价格比较脚本?我知道亚马逊提供了一个公共应用程序接口,但我看到这两个网站,,它们比较图书价格,从沃尔玛和其他不提供API的网站检索价格。如何从没有API的网站获得价格?
我使用的是C#和ASP.NET MVC。
浏览 0提问于2009-07-16得票数 0
回答已采纳
1回答
simjacker.com看起来是SIM卡的一个相当严重的安全问题。不过,他们的网站上没有太多的技术细节。很高兴能知道哪些西姆斯是脆弱的。
不幸的是,S@T技术规范在我看来并没有多大帮助。
有没有一种简单的方法可以知道SIM是否易受攻击?
浏览 0提问于2019-09-13得票数 9
3回答
最近,我需要购买通配符SSL证书(因为我需要保护多个子域),当我第一次搜索在哪里购买的时候,我的选择、营销声明和价格范围都让我不知所措。我创建了一个列表,以帮助我看过去的营销手段,大多数证书颁发机构(CA)和经销商贴满了他们的网站。最后,我个人的结论是,几乎唯一重要的事情是价格和愉快的CA的网站。
问:除了价格和一个不错的网站,在决定在哪里购买通配符SSL证书时,有什么值得我考虑的吗?
浏览 0提问于2014-05-28得票数 65
我准备启动一个小的网络应用程序,并决定扫描该网站与Acunetix漏洞扫描器。大多数情况下,我对结果都很满意,但是扫描仪在主机头的设置中报告了一个高级别的安全问题。扫描仪提供以下链接以获取更多信息( http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html )
据我所知,如果您使用主机头来生成URLs,无论是插入到发送的电子邮件中的urls,还是插入到页面中的urls,都会出现漏洞。
我是否正确地认为,这不是一个web应用程序的问题,而不是使用主机头创建urls的任何方式?
浏览 0提问于2013-09-19得票数 1
我将重新提出一个更准确的问题。如果我单击恶意/病毒链接,则不再单击任何内容或从该网站下载任何内容,我的PC会被黑客攻击吗?我是从一个web开发者的角度,通过所有的工具和编程语言来问这个问题的。
浏览 22提问于2020-06-18得票数 0
回答已采纳
我有一个网站,假设我的网站是example.com。
我想显示一个帖子,如果有人试图sql注入它。例如,如果链接是example.com/?portofolio=1,并且他们输入了example.com/?portofolio=1',那么我希望显示一个帖子/页面(将他们引用到另一个帖子),而不是数据库信息(如果他们获得了任何信息)。每次他们在每个网址的末尾输入'。
浏览 1提问于2014-01-14得票数 0
2回答
我目前正在研究一个可能的安全漏洞,我可能在一个著名的网站上发现。在我向公司介绍之前,我想建立一个概念的证明。
我在看一个有表格的网站(A站点)。用户从列表中选择一个位置,然后输入介于1到10之间的数字,然后返回一些信息和价格。
我想在另一个站点(站点B)上构建一个表单,该表单复制步骤并从站点A提取数据。
我非常肯定,如果没有API访问或CORS配置,这是不可能的。这是正确的,还是你能建立一个机器人来完成从A到B站点的数据抓取?
浏览 0提问于2019-09-01得票数 0
回答已采纳
1回答
常见网络攻击
、、、
可能重复:
如何在用户攻击中测试已经内置的网站?我已经在.NET中开发了一个过程管理系统,现在在将它放到生产环境之前,我想通过一系列的攻击来测试它。
如果有人能分享一些常见的在web应用程序上应用的攻击,我很感激。我知道一些常见的攻击,如未经授权的访问、URL嵌入攻击、sql注入等等。
请分享您的经验和建议,谢谢。
浏览 3提问于2012-12-21得票数 2
我有一个网站商店(Suitebuilder),我有一个特定的供应商,它只希望我们在客户登录时显示价格。所有其他供应商都允许显示价格。是否有一个suitescript变量,可以让我知道是否有人登录,我可以使用它来根据特定的供应商定制模板,以及是否有人登录?
浏览 4提问于2016-03-16得票数 0
回答已采纳
2回答
PHP安全漏洞的渗透测试
、、、
我正在做一篇关于“识别和测试网站安全漏洞”的本科生研究论文。最初,我认为我应该手动测试,因为我在我的方法中指定,我只测试几个选定的漏洞,即SQL注入,跨站脚本,错误报告,会话劫持和输入验证。但当我继续研究时,我发现所有的文章和教程都建议使用软件。
我有几个我的伙伴管理的网站,所以我想在他们的网站上进行测试。我正在检查半打网站上的一些漏洞。我应该使用渗透测试工具,还是只做动态渗透测试而不使用软件?
浏览 2提问于2015-05-25得票数 2
回答已采纳
我负责一个几年前在Magento ver建的小网站。1.3.2.4
网站经常遇到令人费解的问题,比如产品突然不能按价格显示(没有更改设置),订单一式三份发送到网站所有者的电子邮件中。似乎真的很难找到为什么会发生这样的事情的原因,甚至更难获得支持。我知道正在使用的版本是旧的,升级是一项严肃而昂贵的开发工作。可以说,因为使用的是遗留版本,所以我们可以预期随着时间的推移,网站会变得越来越不健壮吗?
非常感谢Bev
浏览 0提问于2012-10-10得票数 0
2回答
我想知道如何制作一个PHP脚本,从外部Wordpress网站获取所有的活动插件。因此,我可以轻松地从所有的网站与活跃的Wordpress插件excel工作表。我已经找到了一个网站(),但我不会自动这么做。
浏览 1提问于2015-06-05得票数 0
回答已采纳
1回答
恶意软件扫描网站代码?
、、、、
我有多个使用工具扫描的Linux CentOS服务器,当它在我的服务器上发现一些恶意代码(共享/专用)时,这些站点的排名就会下降。
我正在寻找的是一个服务器扫描仪,扫描.php,.js文件和类似的恶意软件代码,这样我就可以在谷歌降低该网站排名之前做出反应。
我已经找到了一个php恶意软件扫描仪(nbs-system/ PHP -恶意软件-查找器:检测潜在的恶意PHP文件),还在努力使它工作,但我想找到一个更完整的解决方案,以提高我的服务器的安全性。
有服务器/网站特定的恶意软件扫描器吗?
注意:不是寻找成熟的杀毒产品,而是寻找一种,最好是开源的,扫描网页代码的恶意软件扫描仪,而不是.exe,.
浏览 0提问于2016-05-17得票数 6
回答已采纳
3回答
我必须开发一个ASP.NET web应用程序并将其发布到Windows Azure中,这样它才能在IIS7下运行。我没有任何开发这类应用程序的经验。我经常听到这样的说法:“站点X被入侵是因为它以一种非常愚蠢的方式在做Y”。我有点偏执,我可能也在以一种非常愚蠢的方式做Y(和Z),而且我的应用程序很快就被黑客入侵了。
有没有一个很好的指导方针来保护好ASP.NET网站?
浏览 3提问于2011-07-18得票数 2
回答已采纳
1回答
Django -利率国际化
、、、、
我目前正在用django 1.8创建一个网站,我遇到了一个细节,我必须在显示它的国家的当地货币显示价目表,但不知道如何在价格之间转换(例如,在美元和欧元的价格之间的等价性)请有人能帮助我。
谢谢。
浏览 2提问于2015-07-06得票数 0
2回答
背景
一方面,仍然有一些非常有用的网站使用Java或Flash提供内容。另一方面,激活Java和Flash浏览器插件会带来安全风险,例如,每次遇到新的信任站点时都会重新配置Java的白名单。
因此,我正在寻找一个独立的浏览器环境,它只需要打包Flash和Java。不需要更多的功能。
注意:我不想打开可能被感染的地点。例如,我通常在旧的大学网站上遇到Java小程序,但不希望在我的主浏览器中安装Java插件。
这样的软件存在吗?
需求
易于使用,不应该有任何安全提示-我知道什么URI我粘贴到地址栏时,我甚至打开那个孤立的浏览器。
关于Java和Flash的最新情况。
价格合理还是免费。
浏览 0提问于2016-03-14得票数 0
在我朋友的授权下,我正在测试他的网站是否存在潜在的漏洞。
我试图找出是否能够将SQL查询注入POST请求参数hi' or 1=1 --。
query=hi'%20or%201%3d1%20--
我发现文件打印出来了:
<div class="error">index job,query: syntax error, unexpected '-' near '-'</div>
在使用' or 0=0 --时,我得到:
<div class="error">index job
浏览 5提问于2020-01-18得票数 0
我想扫描我自己的网站的漏洞使用Vega和w3af从卡利linux。我假设这些工具执行主动攻击,而不是被动攻击。这是正确的吗?
如果它们确实对站点执行主动攻击以查找漏洞,那么有效负载是否是恶意的?在检查SQL注入时,我会伤害数据库吗?
浏览 0提问于2014-07-25得票数 0
回答已采纳
2回答
我当时正在读一篇文章,其中包括一段轶事,讲的是有人差点遭到网络钓鱼攻击,这是:
建立了一个模拟Halifax.co.uk网站,它取代了合法的URL中的正斜杠和句号。
偶然的是,我想知道网址http://h.alifax.co.uk上是否有什么东西,如果是的话,它是否是一个钓鱼页面。然而,这是一个页面,随机地将您重定向到其他看似随机的网站(我被重定向到一个比较尿布价格的网站和一个旅游网站!)
这是什么?这里到底有什么不祥的事吗?
浏览 0提问于2014-05-06得票数 -2
回答已采纳
如今,云扫描仪变得越来越普遍。价格比前提扫描器便宜得多。我对云扫描仪的关注是,它们在第三方网络上存储敏感信息。(我不确定敏感信息是否只包括扫描结果)。除了扫描结果外,还有其他信息可以存储吗?我知道,当我参加网络法和合规课程时,我记得其中一些课程(HIPPA、SOX、PCI)要求将个人信息传输到另一个网站。在使用Cloud应用程序扫描仪时,无论是SAST还是DAST,我是否应该关注这个问题?你对云扫描仪和前提扫描仪有什么经验和想法?
浏览 0提问于2014-09-04得票数 0
回答已采纳
1回答
这是什么类型的攻击URL?
、、、、
我用自己的自定义PHP代码建立了一个网站。看起来像乌克兰这样的地方的人正在试图破解它。他们正在尝试一系列奇怪的访问,似乎是为了检测我有哪些PHP文件。
例如,他们发现我有名为mail.php和sendmail.php的PHP文件。他们尝试了很多选择,比如:
http://mydomain.com/index.php?do=/user/register/
http://mydomain.com/index.php?app=core&module=global§ion=login
http://mydomain.com/index.php?act=Login&
浏览 0提问于2012-11-03得票数 2
我有一个对话框类,它是一个FormDialog (比方说,FormDialog< SandwichOrder>;根据bot框架文档网站,它构建了一个三明治订单)。SandwichOrder包含一个“价格”属性。
我还有一个从LuisDialog派生的对话框类,它可以获取价格(例如,基于大小和/或省份)。
如何将功能挂钩到窗体对话框中?
浏览 0提问于2016-04-06得票数 8
我知道微软提供了一个工具,告诉你关于coss网站,脚本攻击等。该工具是
但是,有没有你用过的.NET应用程序的类似工具,哪一个在ASP .Net应用程序中被广泛使用?
浏览 0提问于2010-05-15得票数 2
回答已采纳
4回答
假设Network /IDS可以检测到漏洞,但是应用服务器本身仍然容易受到该漏洞的攻击。
如果我修改了利用的代码,是否还有IPS/IDS仍然会检测到这种攻击?
浏览 0提问于2012-07-23得票数 2
回答已采纳
2回答
除了使用浏览器头,我想从我的网站黑名单/白名单浏览器和插件,以便我可以防止这些旧的未修补的系统(1)作为我的网站的一般用户(2)删除那些‘目标’的潜在攻击者。
我的目标是为访问我的站点但不直接管理环境的用户定义某种端点安全标准,因为他们是客户。
是否有标准的方法使用白名单或黑名单来控制浏览器访问我的网站?
例如,我想防止任何浏览器已经过时的Flash,但我想允许他们,如果他们根本没有闪存。
浏览 0提问于2011-02-06得票数 2
回答已采纳
我正在制作一个小型电子商务网站,用户可以通过购物卡购买商品。这些项目只是一些打印,价格范围在50美元到300美元之间。
许多人建议使用SSL。我知道它使用安全套接字加密浏览器和服务器之间的数据传输,但我以前从未使用过它。
它究竟如何帮助我保护我的网站?它会自动阻止我的网站上任何SQL注入或XSS漏洞的可能性吗?
Ps。对于像我这样的初学者的简短回复或指导,我将不胜感激!
浏览 4提问于2013-01-13得票数 0
回答已采纳
在我的网站上,如果一个url包含三个或更多的点,后面跟着一个斜杠,就会给出一个内部服务器错误(500)。
服务器运行linux和apache 2.0.63。
谁知道可能的原因是什么?
谢谢!
浏览 5提问于2011-03-06得票数 1
回答已采纳
我的网站上有产品(例如:),有两个产品变体(大小和框架颜色)。现在,您必须选择帧大小和帧颜色,以使价格调整,我想知道是否有什么我可以做的,使价格变化只随着产品尺寸的变化?
谢谢你的帮助!!
浏览 3提问于2020-03-09得票数 0
回答已采纳
我有一个价格比较网站,列出不同的产品。在产品页面上,它列出了每种产品都可以购买的10-20家网络商店。
目前,我正在用以下最基本的方式连接这些站点:
<a href="https://www.randomxxxx.com/link" class="redBtn" rel="nofollow noopener" target="_blank">Visit Shop</a>
我的问题是,从SEO的角度来看,这个网站的表现真的很糟糕,我担心像这样的10.000+链接是一个错误的解决方案。正如我所看到的,大的价格比
浏览 0提问于2021-10-14得票数 3
回答已采纳
1回答
我们是一个小型的早期创业公司,没有那么多的钱可花。
我们有不到3台服务器,我们希望监控安全问题。
我们的网站本质上是在一个服务器上,具有:
Ubuntu
单页应用程序(完整的javascript)
带有MongoDB和ElasticSearch的API (Play/Scala/Netty)和Apache反向代理
如您所知,我更感兴趣的是服务器监视,而不是应用程序监视(不是真正寻找SQL注入、XSS或其他类似的东西,我想没有任何工具能够在JS应用程序+ API堆栈上自动测试)
是否有任何可用的开放源码产品来监视这些事情并提醒我们安全问题?
我们正在寻找一个免费或廉价的工具,易于使用。更可取的是廉
浏览 0提问于2014-10-22得票数 -1
1回答
背景:我有一个非常老的站点运行在一个非常老的VPS上,一个非常老的Apache和一个非常老的CentOS,因为它是一台非常老的机器,所以我无法升级它。这是一个最新的WordPress站点,在suExec设置中每分钟提供100页左右的服务。是的,每分钟100分钟。
今天晚上7:01开始,一个网站关闭了大约15分钟。错误日志文件中的第一个相关消息是:
2014年年8月1日星期五19: 01 :41 客户: a.b.c.d .脚本头的过早结束: index.php,referer:.
日志文件中还有大约两三百条错误消息,以7:02结尾。Google告诉我,该网站一直在响应1到2个请求/分钟。7:15
浏览 0提问于2014-08-02得票数 0
我在读一本来自著名证书的白帽黑客书。他们说,黑客攻击web服务器的方法是:
信息收集(域名、DNS、IP等)
脚印(例如:抓横幅)
网站镜像
漏洞扫描
会话劫持
密码破解
除了会话劫持和信息收集之外,我不明白为什么我不会仅仅推出和/或Nessus来查找所有的弱点。
如果您可以自动执行手动测试,这有什么意义呢?
例如,如果漏洞扫描器不知道如何查找易受攻击的cookie,如果我手动找到一种方法来执行会话劫持,我将无法为此对Nessus的Acunetix进行培训。即使我这么做了,我也不知道这会有多大好处。
请解释我为什么不让我的工具为我做黑客。
浏览 0提问于2020-02-29得票数 31
我现在正在使用Core-plot开发应用程序。我正在寻找一些触摸事件的用户触摸图表的一个点,然后它显示的价格。
当我查看CorePlot网站时,它有一个显示我需要的应用程序
我真的想通过Core-plot来做这个函数,我现在使用的是CorePlot 0.4,我想做以下函数
我真的很想有一个触摸事件,可以显示指定价格的点用户触摸。
非常感谢!
浏览 1提问于2011-10-20得票数 4
1回答
在网上购物网站,我有。如何根据用户的选择偏好或选择在不同的币种汇率之间来回切换币种?
例如:
假设我有一个来自英国的用户,所以所有商品的价格必须在显示时转换为磅(£)。如果用户想要查看以卢比表示商品价格,且如果用户来自印度,则需要将其自动更改为卢比,
有谁能解释一下吗?
浏览 0提问于2014-04-14得票数 0
我认识一家电子商务公司,它有一个面向公众的网站,比如www.app.com,它的网页是www.app.com/version.jsp,也可以公开访问。该页具有以下信息。
Build Info
Path: /root/version/app/v5.6/b10
Server: appUSA-prod-srv1
Date: 09/10/2017 6:21 AM
Source: svn@svn
CI: Link (this leads to an internal link which is inaccessible to public)
Gradle is used in n
浏览 0提问于2017-09-28得票数 1
1回答
我已经为我们的iOS应用程序设置了在应用程序中购买所需的一切,而且从技术方面来说,一切都是有效的。我目前正在沙箱上测试。
我的问题是,SKProduct (SEK的本地价格)我从SKProductsRequest得到的价格不是AppStore价目表中的正确价格。
第4级应该给45瑞典克朗的价格,但我在产品上的价格是50瑞典克朗。50瑞典克朗不是在任何级别上列出的价格。这种不一致似乎出现在我检查过的所有价格层。
我检查过的使用IAP的其他应用程序都有与价目表一致的价格。
我已经进行了三次检查,以确保在产品上选择了正确的层,并且使用了正确的productID。
有人知道会出什么问题吗?
编辑*据我
浏览 5提问于2021-08-19得票数 1
回答已采纳
1回答
我知道在GitHub上推进我的前端代码是绝对安全的。但我关心的是我的后端代码。我想向未来的招聘人员展示我的服务器端编码技能。但是,如果我的后端代码中有一个严重漏洞,并且有人读取了我的代码并利用了该漏洞,该怎么办?基本上,我想说的是,我可以把我的正常项目的后端源代码推到GitHub上,但托管在云上的生产网站的后端代码值得吗?利用它可以让我花很多钱,同时也会失去应用程序的用户吗?
浏览 3提问于2021-01-27得票数 0
4回答
我知道这个问题已经被问了好几次了,但我就是找不到一个解决方案!我拥有一个交友网站,人们通过代理注册(我假设)和垃圾邮件我的用户和创建假帐户的问题。
我如何检测一个用户是否在代理后面,比如Vtunnel,Hidemyass,TOR等等。我知道没有保证的方法,但是像pof.com (很多鱼)这样的网站有很好的代理检测。
我只是需要从某个地方开始..即使我只能检测到最流行的代理网站。
浏览 0提问于2013-06-03得票数 5
回答已采纳
所以这是一个相对较新的问题。
我的网站运行在部署在OPENSuse 10企业版上的Apache2服务器上。据我所知,有一个简单的命令行测试:
openssl s_client -connect mysite.com:443 -ssl3
假设这将返回"SSL routines:SSL3_READ_BYTES:sslv3警告握手失败:“作为输出,其中之一是不支持SSLv3,这样您就完全没有问题了。事实的确如此。所以测试确认了-我很好。
问题来了,SSLLabs的人有他们自己的测试。这里有一个链接:。此测试失败,并表明我实际上是易受攻击的,因为我的服务器支持SSLv3。
所以,是的,两个测
浏览 3提问于2014-11-05得票数 1
http://stegosploit.info/
我考虑让用户将他们的图像直接上传到AWS S3,以节省成本(而不是通过传统的服务器并使用mozjpeg重新编码),但理论上这将根据我所读到的内容打开stegosploit漏洞。
我不明白的部分是:利用漏洞是否需要在<script></script>中加载图像(网站管理员必须在该漏洞中),还是图像本身包含<script></script> (网站用户可以为该漏洞上传图像)?
浏览 0提问于2016-06-07得票数 1
回答已采纳
可能重复: 我的服务器被黑客入侵
我们通常主持我们的客户网站,但我们不主持这个网站。该网站本身(weddle-funeral.com)运作良好。如果您加载google并搜索weddle funeral stayton oregon,然后单击该链接,该站点将链接到一个欺骗药丸网站。
我浏览了这个网站,wordpress插件中有一些php文件被我的防病毒隔离。
我删除了所有不必要的文件,并上传了所有插件的新版本,但它仍然从谷歌重定向。
我尝试登录到cpanel (在虚拟私有服务器上),cpanel显示了一个红色警告屏幕。
The site's security certificate i
浏览 0提问于2012-09-21得票数 0
回答已采纳
有很多关于贝类攻击漏洞的帖子。我能很详细地理解这个漏洞。
然而,我很好奇为什么任何入侵检测系统或基于主机的工具(例如防病毒系统)都无法检测到它?
一些答案可能包括Snort没有适当的签名,但至少应该有一些其他的症状,即网络管理员应该理解网络中正在发生的异常情况,例如HTTP用户代理字符串不同(基于主机的解决方案检查对吗?),出站流量可能会异常增加,或者but服务器上的进程或内存使用量会比通常的边界增加。
PS:这个问题是关于易受贝类攻击的网络服务器的。我的意思是说,在短时间内,攻击者就会试图发动攻击。
浏览 0提问于2015-01-14得票数 1
2回答
我正在学习关于网络安全和如何处理SQLmap的知识。一个朋友在他的服务器上制作了一些演示网页来测试SQLmap。其中一个页面是一个假的钓鱼网站,它引用了一个真实的站点(index.asp?ref=REALSITE)。
如果我用引用者参数扫描假钓鱼网站,我会无意中扫描引用的站点吗?
浏览 0提问于2015-11-23得票数 0
4回答
SQL注入漏洞
、、、
我们有一个ASP.NET/C#网站。我们的开发人员在亚洲的离岸,我刚刚发现他们一直在网站前端放置原始SQL。
我担心我们现在很容易受到SQL注入攻击。有谁知道我如何检测网站上的漏洞,以及关闭它们的最好方法是什么?
浏览 3提问于2011-12-16得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
