ITPub博客

首页 > IT基础架构 > 应用安全

关于 “应用安全” 的内容如下:

  • 对泛微OA系统的网站安全检测以及漏洞修复办法

    近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。该OA系统漏洞的产生

    网站安全 应用安全 399 2019-10-12 14:26
  • 渗透测试对文件包含漏洞网站检测

    昨天给大家普及到了渗透测试中执行命令漏洞的检测方法,今天抽出时间由我们Sine安全的渗透工程师来讲下遇到文件包含漏洞以及模板注入漏洞的检测方法和防御手段,本文仅参考给有授权渗透测试的正规安全检测的客户,让更多的客户了解到具体测试的内容,是如何进行全面的网站安全测试。3.8. 文件包含3.8.1. 基础常见的文件包含漏洞的形式为 <?php include("inc/" .

    网站安全 应用安全 423 2019-10-11 09:55
  • 渗透测试对网站漏洞修复执行命令重点检查

    哈喽大家好,近期我们Sine安全对客户平台进行渗透测试的时候,发现有一些命令执行的漏洞测试语句和函数,导致服务器被提权被入侵,上一节提到XSS跨站脚本攻击检测方法,本章来总和一下脚本执行命令的详细检测手段,以及绕过waf的办法,只有这样详细的对平台进行安全测试才能保障整个平台安全稳定。3.5.1. 简介命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。该类漏洞通常出现在调用外部程序完

    网站安全 应用安全 401 2019-10-10 14:14
  • 渗透测试公司 对于越权漏洞的检测与修复

    渗透测试在网站,APP刚上线之前是一定要做的一项安全服务,提前检测网站,APP存在的漏洞以及安全隐患,避免在后期出现漏洞,给网站APP运营者带来重大经济损失,很多客户找到我们SINE安全公司做渗透测试服务的同时,我们积累了十多年的漏洞检测经验,对客户的网站各项功能以及APP进行全面的安全检测,下面我们就对渗透测试中的一些知识点跟大家科普一下:越权漏洞是什么?详细的跟大家讲解一下什么是越权漏洞,在整

    网站安全 应用安全 408 2019-10-08 10:03
  • 网站被攻击渗透测试出漏洞怎么办

    国庆即将到来,前一期讲到获取网站信息判断所属环境以及各个端口的用处和弱口令密码利用方法,这期仍有很多客户找到我们Sine安全想要了解针对于SQL注入攻击的测试方法,这一期我们来讲解下注入的攻击分类和使用手法,让客户明白漏洞是如何产生的,会给网站安全带来怎样的影响!3.1 SQL注入漏洞3.1.1. 注入分类SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。在应用程序中,如果没有做恰当的过滤

    网站安全 应用安全 406 2019-09-30 09:53
  • 专栏讲解渗透测试网站信息获取

    上一节讲到渗透测试中的代码审计讲解,对整个代码的函数分析以及危险语句的避让操作,近期很多客户找我们Sine安全想要了解如何获取到网站的具体信息,以及我们整个渗透工作的流程,因为这些操作都是通过实战累计下来的竟然,渗透测试是对网站检查安全性以及稳定性的一个预防针,前提是必须要有客户的授权才能做这些操作!2.2. 站点信息判断网站操作系统Linux大小写敏感Windows大小写不敏感描敏感文件robo

    网站安全 应用安全 408 2019-09-29 10:25
  • phpStudy poc漏洞复现以及漏洞修复办法

    phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详

    网站安全 应用安全 598 2019-09-27 15:09
  • 网站漏洞渗透测试复盘检查结果分析

    最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,攻击手法也是有迹可循的,知己知彼才能百战百胜。渗透测试一、知彼攻击者也是讲成本的,因此防守方最好的策略是:

    网站安全 应用安全 431 2019-09-26 10:04
  • app安全渗透测试详细方法流程

    越来越多的网站以及app手机端客户注重安全渗透测试服务,上线前必须要对平台进行全面的预渗透测试找出安全漏洞以及BUG,很多客户找我们,做渗透测试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透测试方法流程大体写的全面一点给大家呈现。渗透测试一、渗透流程信息收集漏洞验证/漏洞攻击提权,权限维持日志清理信息收集一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎端口扫描有授权的情况下

    网站安全 应用安全 504 2019-09-25 15:41
  • 渗透测试工具方法基础代码审计篇

    这几天整理了下网站渗透测试中基础部分的第三节,我们SINE安全渗透工程师对代码安全审计,手工渗透测试检查代码的危险漏洞方法,找出安全问题重点,配合工具扫描来达到测试漏洞的目的,本测试重点仅限于客户授权才能操作,切记忽非法尝试入侵!以下方法只是提供网站安全检测的具体参考意见。1.5. 代码审计1.5.1. 简介代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。白盒指通过对源代码的分析找到

    网站安全 应用安全 418 2019-09-25 10:28
  • 网站漏洞检测解析绕过上传漏洞

    在日常对客户网站进行渗透测试服务的时候,我们SINE安全经常遇到客户网站,app存在文件上传功能,程序员在设计开发代码的过程中都会对上传的文件类型,格式,后缀名做安全效验与过滤判断,SINE安全工程师在对文件上传漏洞进行测试的时候,往往发现的网站漏洞都是由于服务器的环境漏洞导致的,像IIS,apache,nginx环境,都存在着可以导致任意文件上传的漏洞。关于导致文件上传漏洞的产生以及测试,我们来

    网站安全 应用安全 420 2019-09-23 10:10
  • 网站漏洞测试 文件上传漏洞的安全渗透与修复

    很多客户网站以及APP在上线运营之前都会对网站进行渗透测试,提前检测网站是否存在漏洞,以及安全隐患,避免因为网站出现漏洞而导致重大的经济损失,客户找到我们SINE安全做渗透测试服务的时候,我们都会对文件上传功能进行全面的安全测试,包括文件上传是否可以绕过文件格式,上传一些脚本文件像php,jsp,war,aspx等等,绕过上传目录,直接上传到根目录下等等的一些漏洞检测。那什么是文件上传漏洞?我们S

    网站安全 应用安全 403 2019-09-20 11:23
  • 网站漏洞渗透测试服务内容详情见解

    小小白承包了一块20亩的土地,依山傍水,风水不错。听朋友说去年玉米大卖,他也想尝尝甜头,也就种上了玉米。看着玉米茁壮成长,别提小小白心里多开心,心里盘算着玉米大买后,吃香喝辣的富贵生活。好景不长,小小白这几天发现玉米长得慢了,还出现了黄叶,黄页面积还有扩大的趋势。着急的小小白找到大队的农业专家老周周,老周周说:“有病得治,玉米在生长期有着不同的阶段,不同阶段得有不同的护理措施,除了日常的除草、施肥

    网站安全 应用安全 410 2019-09-18 10:36
  • 网站安全检测 对帝国CMS代码的后台功能性安全测试

    最近我们SINE安全在对帝国CMS系统进行代码安全审计的时候,发现该系统存在网站漏洞,受影响的版本是EmpireCMS V7.5,从帝国官方网站下载到本地,我们人工对其代码进行详细的漏洞检测与安全代码分析。共计发现三个高危漏洞,都是在网站的后台管理页面上的功能发现的。该漏洞的产生,最根源的问题是没有对get,post提交方式进行严格的安全效验与过滤,导致可以插入恶意代码到后端服务器中去处理,导致漏

    网站安全 应用安全 399 2019-09-09 17:09
  • 渗透测试之CSRF代码漏洞的检测与加固方案

    XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中 ,经常的被爆出有高危漏洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户网站以及APP存在以上的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收集客户网站域名,以及其他信息的时候,大体的注意一些请求操作,前端输入,get,post请求中,可否插入csrf代码,以及XSS代码。很多客户的网站都有做一些安全的

    网站安全 应用安全 407 2019-09-06 10:07
  • 网站漏洞检测 squid反向代理存在远程代码执行漏洞

    在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜集工作,包括域名,二级域名收集,网站使用的反向代理系统,网站程序开发语言,是否使用开源的代码,以及网站后台路径收集,都在前期渗透中需要做的。前段时间某一个客户网站使用的就是squid反向代理系统,客户APP,以及网站

    网站安全 应用安全 408 2019-09-02 10:47
  • 如何查看网站服务器被攻击的痕迹

    目前越来越多的服务器被入侵,以及攻击事件频频的发生,像数据被窃取,数据库被篡改,用户数据被脱裤,网站被强制跳转到恶意网站上,网站在百度的快照被劫持,等等的攻击症状层出不穷,当我们的服务器被攻击,被黑的时候我们第一时间该怎么去处理解决呢?如何排查服务器被入侵攻击的痕迹呢?是否有应急处理方案,在不影响网站访问的情况下,很多客户出现以上攻击情况的时候,找到我们SINE安全来处理解决服务器被攻击问题,我们

    网站安全 应用安全 425 2019-08-29 11:14
  • 网站漏洞检测 身份验证码与重要操作验证码安全问题

    在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身份验证码,再一个对重要的操作进行的操作验证码,虽然从名字上都是验证码,但这两种所包含的内容是不一样的。登陆身份验证码的功能是用来判断当前账户登陆是否是账户者本身,简单来说是判断是否是账户的拥有者,用验证码来效验,

    网站安全 应用安全 421 2019-08-27 09:49
  • Burpsuite安全测试测试指导

    1Burpsuite简介Burpsuite是一款安全领域非常重要的Web扫描工具(或者说是平台),它用于攻击Web应用程序。在Burp Suite上集成了各种扫描工具插件,各个集成插件可以组合使用,也可以单独使用。2Burpsuite安装Burpsuite有两个版本,专业版和免费版,本次只进行一些简单的web安全测试,涉及到的插件并不多,所以直接安装免费版即可,工具获取直接在***上搜索获取:(安

    testingbang 应用安全 419 2019-08-26 22:12
  • 如何扫描网站漏洞 针对于海洋CMS的漏洞检查分析

    临近9月底,seacms官方升级海洋cms系统到9.95版本,我们SINE安全在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越权漏洞并绕过后台安全检测直接登录管理员账号。关于该漏洞的具体详情,我们来详细的分析一下:seacms主要设计开发针对于互联网的站长,以及中小企业的一个建站系统,移动互联网的快速发展,该系统可自动适应电脑端,手机端,平板端,APP端等多个用户的端

    网站安全 应用安全 406 2019-08-24 10:38
点击加载更多下一页

成为大咖

联系我们
itpub
help@itpub.net
18603471036
扫描二维码联系客服
关于 广告服务 使用条款
京ICP备16024965号
经营性网站备案信息
网络110报警服务
中国互联网举报中心
北京互联网违法和不良信息举报中心