ITPub博客

首页 > IT基础架构 > 应用安全

关于 “应用安全” 的内容如下:

  • APP渗透测试基本内容与漏洞扫描介绍

    天气越来越凉爽,在对客户网站代码进行渗透测试,漏洞测试的同时我们SINE安全渗透技术要对客户的网站源代码进行全方位的安全检测与审计,只有真正的了解网站,才能更好的去渗透测试,发现网站存在的漏洞,尽可能的让客户的网站在上线之前,安全防护做到最极致.在后期的网站,平台快速发展过程中,避免重大的漏洞导致的经济损失.首先分享一下我们SINE安全前段时间对客户的金融平台的渗透测试过程,在审计代码的时候发现了

    网站安全 应用安全 406 2019-10-24 11:02
  • 渗透测试公司 对PHP网站安全后门检测

    很多想做渗透测试的朋友都想了解关于PHP后门漏洞的安全测试重点方法,以及该如何预防被中php后门,本节由我们的Sine安全高级渗透工程师进行全面的讲解,来让大家更好的理解和了解php代码的安全检测,让网站得到最大化的安全保障,安全保障了,网站才能更长远的运行下去。4.1.1. 后门4.1.1.1. php.ini构成的后门利用 auto_prepend_file 和 include_path4.1

    网站安全 应用安全 401 2019-10-23 15:31
  • 验证ISO镜像是否源于官方网站的办法

    最近在做一个项目,需要安装Redhat的操作系统,但是在redhat官网上下载实在是费劲,速度慢不说,重要的是下载到最后还会出现终止下载的情况,真的很让人头疼,于是想找一下国内是否有相同的ISO镜像,但是需要验证ISO的安全性,否则如果镜像中被植入病毒或者***,那安装过后岂不拜拜了~最直接有效的方法就是对比ISO镜像的hash值是否于官网上提供的一样,那怎么操作呢?下面就简单的介绍一下。一般官网

    JefferyChen 应用安全 389 2019-10-21 18:09
  • 2019年APP安全漏洞检测安全工具报告

    2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据上半年的安全检测以及漏洞测试分析发现,目前移动APP软件漏洞的发展速度上涨百分之30,大部分的APP漏洞都已被商业利用以及窃取用户隐私信息,造成APP软件的数据泄露,数据被篡改,等等。我们来统计一下目前发现的APP漏洞:第一个是就是SIM卡

    网站安全 应用安全 446 2019-10-21 15:43
  • 网站安全维护对公司网站渗透测试剖析

    天气逐渐变凉,但渗透测试的热情温度感觉不到凉,因为有我们的存在公开分享渗透实战经验过程,才会让这个秋冬变得不再冷,近期有反映在各个环境下的目录解析漏洞的检测方法,那么本节由我们Sine安全的高级渗透架构师来详细的讲解平常用到的web环境检测点和网站漏洞防护办法。3.14.1. IIS3.14.1.1. IIS 6.0后缀解析 /xx.asp;.jpg目录解析 /xx.asp/xx.jpg (xx.

    网站安全 应用安全 406 2019-10-21 15:13
  • 网站渗透测试安全检测方案

    许多客户在网站,以及APP上线的同时,都会提前的对网站进行全面的渗透测试以及安全检测,提前检测出存在的网站漏洞,以免后期网站发展过程中出现重大的经济损失,前段时间有客户找到我们SINE安全公司做渗透测试服务,在此我们将把对客户的整个渗透测试过程以及安全测试,发现的漏洞都记录下来,分享给大家,也希望大家更深的去了解渗透测试。在对客户的网站进行服务的同时,我们首先要了解分析数据包以及网站的各项功能,有

    网站安全 应用安全 420 2019-10-17 10:51
  • 逻辑注入漏洞渗透测试检测办法

    最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权的漏洞检测方法,希望大家能对自己的网站安全进行提前预防和了解,再次提醒做安全测试前必须要有正规的授权才能进行测试,提供网站的安全性保障权益。3.11.1. Xpath定义XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶

    网站安全 应用安全 397 2019-10-17 09:42
  • 对泛微OA系统的网站安全检测以及漏洞修复办法

    近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。该OA系统漏洞的产生

    网站安全 应用安全 442 2019-10-12 14:26
  • 渗透测试对文件包含漏洞网站检测

    昨天给大家普及到了渗透测试中执行命令漏洞的检测方法,今天抽出时间由我们Sine安全的渗透工程师来讲下遇到文件包含漏洞以及模板注入漏洞的检测方法和防御手段,本文仅参考给有授权渗透测试的正规安全检测的客户,让更多的客户了解到具体测试的内容,是如何进行全面的网站安全测试。3.8. 文件包含3.8.1. 基础常见的文件包含漏洞的形式为 <?php include("inc/" .

    网站安全 应用安全 481 2019-10-11 09:55
  • 渗透测试对网站漏洞修复执行命令重点检查

    哈喽大家好,近期我们Sine安全对客户平台进行渗透测试的时候,发现有一些命令执行的漏洞测试语句和函数,导致服务器被提权被入侵,上一节提到XSS跨站脚本攻击检测方法,本章来总和一下脚本执行命令的详细检测手段,以及绕过waf的办法,只有这样详细的对平台进行安全测试才能保障整个平台安全稳定。3.5.1. 简介命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。该类漏洞通常出现在调用外部程序完

    网站安全 应用安全 418 2019-10-10 14:14
  • 渗透测试公司 对于越权漏洞的检测与修复

    渗透测试在网站,APP刚上线之前是一定要做的一项安全服务,提前检测网站,APP存在的漏洞以及安全隐患,避免在后期出现漏洞,给网站APP运营者带来重大经济损失,很多客户找到我们SINE安全公司做渗透测试服务的同时,我们积累了十多年的漏洞检测经验,对客户的网站各项功能以及APP进行全面的安全检测,下面我们就对渗透测试中的一些知识点跟大家科普一下:越权漏洞是什么?详细的跟大家讲解一下什么是越权漏洞,在整

    网站安全 应用安全 418 2019-10-08 10:03
  • 网站被攻击渗透测试出漏洞怎么办

    国庆即将到来,前一期讲到获取网站信息判断所属环境以及各个端口的用处和弱口令密码利用方法,这期仍有很多客户找到我们Sine安全想要了解针对于SQL注入攻击的测试方法,这一期我们来讲解下注入的攻击分类和使用手法,让客户明白漏洞是如何产生的,会给网站安全带来怎样的影响!3.1 SQL注入漏洞3.1.1. 注入分类SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。在应用程序中,如果没有做恰当的过滤

    网站安全 应用安全 411 2019-09-30 09:53
  • 专栏讲解渗透测试网站信息获取

    上一节讲到渗透测试中的代码审计讲解,对整个代码的函数分析以及危险语句的避让操作,近期很多客户找我们Sine安全想要了解如何获取到网站的具体信息,以及我们整个渗透工作的流程,因为这些操作都是通过实战累计下来的竟然,渗透测试是对网站检查安全性以及稳定性的一个预防针,前提是必须要有客户的授权才能做这些操作!2.2. 站点信息判断网站操作系统Linux大小写敏感Windows大小写不敏感描敏感文件robo

    网站安全 应用安全 436 2019-09-29 10:25
  • phpStudy poc漏洞复现以及漏洞修复办法

    phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详

    网站安全 应用安全 898 2019-09-27 15:09
  • 网站漏洞渗透测试复盘检查结果分析

    最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,攻击手法也是有迹可循的,知己知彼才能百战百胜。渗透测试一、知彼攻击者也是讲成本的,因此防守方最好的策略是:

    网站安全 应用安全 443 2019-09-26 10:04
  • app安全渗透测试详细方法流程

    越来越多的网站以及app手机端客户注重安全渗透测试服务,上线前必须要对平台进行全面的预渗透测试找出安全漏洞以及BUG,很多客户找我们,做渗透测试服务的时候对具体的流程可能不太了解,下面我们把具体的渗透测试方法流程大体写的全面一点给大家呈现。渗透测试一、渗透流程信息收集漏洞验证/漏洞攻击提权,权限维持日志清理信息收集一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎端口扫描有授权的情况下

    网站安全 应用安全 935 2019-09-25 15:41
  • 渗透测试工具方法基础代码审计篇

    这几天整理了下网站渗透测试中基础部分的第三节,我们SINE安全渗透工程师对代码安全审计,手工渗透测试检查代码的危险漏洞方法,找出安全问题重点,配合工具扫描来达到测试漏洞的目的,本测试重点仅限于客户授权才能操作,切记忽非法尝试入侵!以下方法只是提供网站安全检测的具体参考意见。1.5. 代码审计1.5.1. 简介代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。白盒指通过对源代码的分析找到

    网站安全 应用安全 434 2019-09-25 10:28
  • 网站漏洞检测解析绕过上传漏洞

    在日常对客户网站进行渗透测试服务的时候,我们SINE安全经常遇到客户网站,app存在文件上传功能,程序员在设计开发代码的过程中都会对上传的文件类型,格式,后缀名做安全效验与过滤判断,SINE安全工程师在对文件上传漏洞进行测试的时候,往往发现的网站漏洞都是由于服务器的环境漏洞导致的,像IIS,apache,nginx环境,都存在着可以导致任意文件上传的漏洞。关于导致文件上传漏洞的产生以及测试,我们来

    网站安全 应用安全 425 2019-09-23 10:10
  • 网站漏洞测试 文件上传漏洞的安全渗透与修复

    很多客户网站以及APP在上线运营之前都会对网站进行渗透测试,提前检测网站是否存在漏洞,以及安全隐患,避免因为网站出现漏洞而导致重大的经济损失,客户找到我们SINE安全做渗透测试服务的时候,我们都会对文件上传功能进行全面的安全测试,包括文件上传是否可以绕过文件格式,上传一些脚本文件像php,jsp,war,aspx等等,绕过上传目录,直接上传到根目录下等等的一些漏洞检测。那什么是文件上传漏洞?我们S

    网站安全 应用安全 425 2019-09-20 11:23
  • 网站漏洞渗透测试服务内容详情见解

    小小白承包了一块20亩的土地,依山傍水,风水不错。听朋友说去年玉米大卖,他也想尝尝甜头,也就种上了玉米。看着玉米茁壮成长,别提小小白心里多开心,心里盘算着玉米大买后,吃香喝辣的富贵生活。好景不长,小小白这几天发现玉米长得慢了,还出现了黄叶,黄页面积还有扩大的趋势。着急的小小白找到大队的农业专家老周周,老周周说:“有病得治,玉米在生长期有着不同的阶段,不同阶段得有不同的护理措施,除了日常的除草、施肥

    网站安全 应用安全 436 2019-09-18 10:36
点击加载更多下一页

成为大咖

联系我们
itpub
help@itpub.net
18603471036
扫描二维码联系客服
关于 广告服务 使用条款
京ICP备16024965号
经营性网站备案信息
网络110报警服务
中国互联网举报中心
北京互联网违法和不良信息举报中心