精华内容
下载资源
问答
  • ThinkPHP框架信息泄露

    万次阅读 2021-03-22 18:59:25
    Think PHP 3.2 信息泄露 配置环境 数据库连接配置 # application/home/controller/IndexController.class <?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller ...

    实践学习php,thinkphp,Redis,vue,uni-app等技术,推荐开源电商系统likeshop,可以借鉴思路,可去版权免费商用,gitee下载地址:
    点击进项目地址

    Think PHP 3.2 信息泄露

    配置环境

    数据库连接配置

    image-20210322164613538

    # application/home/controller/IndexController.class
    <?php
    namespace Home\Controller;
    use Think\Controller;
    
    class IndexController extends Controller
    {
        public function index(){
            $data=M("admin")->select();
            dump($data);
            // 注意方法
        }
    }
    # 连接的是 test 库,并非上图所示
    

    image-20210322165226488

    开启调试

    # application/home/Conf/config.php
        'SHOW_PAGE_TRACE'       =>  'true',
    

    image-20210322170451358

    日志信息泄露

    Think PHP 在开启 DEBUG 的情况下会在 Runtime 目录下生成日志,如果 DEBUG 不关,可直接输入路径造成目录遍历

    http://localhost/thinkphp/thinkphp_3.2.3_full/Application/runtime/logs/home/21_03_22.log
    
    ThinkPHP3.2:Application/runtime/logs/home/21_03_22.log
    ThinkPHP3.1:runtime/logs/home/21_03_22.log
    对应:项目命\runtime\logs\home\year_mouth_day.log
    

    日志里有执行 sql 语句的记录

    image-20210322171407394

    防御方法

    关闭 debug

    缓存泄露

    PHP快速缓存方法 F

    image-20210322173950649

    # application/home/controller/IndexController.class
    class IndexController extends Controller
    {
        public function index(){
            F("data","<?phpinfo();?>");
        }
    }
    
    s:14:"<?phpinfo();?>";
    

    先访问下 index,就会获得缓存文件

    image-20210322173704812

    数据缓存函数 S

    image-20210322173845721

        public function index(){
            S("data","<?phpinfo();?>");
        }
    

    image-20210322174430967

    文件名 md5 解密后就是 data

    tp 有文件缓存的安全机制

    # application/home/Conf/config.php
        'DATA_CACHE_KEY'        =>  'think',
    

    image-20210322174805927

    解密后其实就是 thinkdata

    框架指纹识别

    • 确定网站框架
    • cms 指纹识别 || 黑盒测试
    • 框架指纹识别

    /?c=4e5e5d7364f443e28fbf0d3ae744a59a

    img

    /ThinkPHP/logo.png

    img

    59a

    [外链图片转存中…(img-pTJP3o0I-1616410710131)]

    /ThinkPHP/logo.png

    [外链图片转存中…(img-MKkCGBJ4-1616410710136)]

    展开全文
  • ZKWeb网站框架介绍

    2016-01-14 18:20:07
    目录 使用入门(未编写) ...介绍ZKWeb是一个用于快速开发网站框架,主要的特点有 * 支持动态载入和编辑的插件系统 * 基于Csscript的CompileFiles * 插件代码编辑保存后可直接刷新浏览器 *

    目录

    教程中使用的代码可以到https://github.com/303248153/ZKWeb.Examples 查看。

    介绍

    ZKWeb是一个用于快速开发网站的框架,主要的特点有

    • 支持动态载入和编辑的插件系统
      • 基于Csscript的CompileFiles
      • 插件代码编辑保存后可直接刷新浏览器
    • 使用Ioc容器对各项功能进行扩展
      • 基于DryIoc,性能比大部分同类容器都要好
      • 功能简单,上手快
    • 支持从代码自动更新数据库
      • 基于NHibernate的SchemeUpdate
      • 添加数据表或字段后不需要运行任何命令,刷新浏览器即可更新到数据库
    • 支持数据库事件
      • 允许添加回调,在数据修改或删除前后在同一个事务中进行操作
      • 支持对比修改前后的数据
    • Django风格的模板系统
      • 不需预编译成dll,载入速度快且没有内存泄漏问题
      • 允许新的插件对原有插件的模板进行覆盖(规则同Django)
      • 支持区域和针对区域的动态内容,给实现可视化编辑预留的功能
    • 多语言支持
      • 在一个插件中翻译好的内容另外一个插件不需要翻译
      • 翻译接口支持自定义翻译逻辑(允许智能翻译)
      • 可以检测并使用浏览器语言或Cookies指定的语言
    • 多时区支持
      • 可以检测并使用Cookies指定的时区
    • 自动生成表单(需要使用预置的插件)
      • 支持从类型的成员自动生成表单
      • 支持客户端和服务端的表单验证
      • 支持防跨站攻击验证,默认开启
      • 支持自定义复杂的表单类型
      • 支持在其他插件中扩展现有的表单
    • 管理员后台(需要使用预置的插件)
      • 基于bootstrap
      • 同时支持电脑和手机,所有页面自适应
    • 自动生成增删查改(需要使用预置的插件)
      • 允许生成管理员使用的增删查改页面
      • 支持批量操作和高级搜索
      • 支持回收站
      • 支持自动生成和检查权限
      • 不通过代码生成器,减少程序的代码量和内存占用

    目前这个框架已通过MIT协议在GITHUB上开源,地址是

    https://github.com/303248153/ZKWeb
    https://github.com/303248153/ZKWeb.Plugins
    

    但因为是业余开发,所以功能并不是很完善,如果您有兴趣或疑问请加入QQ群522083886。

    初步的使用教程请看页面顶部的链接,感谢关注:D。

    展开全文
  • 功能测试框架

    万次阅读 多人点赞 2020-10-05 22:43:15
    测试用例的编写需要按照一定的思路进行,而不是想到哪写到哪,一般测试机制成熟的公司都会有公司自己自定义的测试用例模板,以及一整套的测试流程关注点,当然我们自己在测试生涯中也应当积累一套自己的测试框架,...

    测试用例的编写需要按照一定的思路进行,而不是想到哪写到哪,一般测试机制成熟的公司都会有公司自己自定义的测试用例模板,以及一整套的测试流程关注点,当然我们自己在测试生涯中也应当积累一套自己的测试框架,所有功能性的测试都可以依据框架的思路来进行,达到事半功倍的效果。

    功能测试框架可以包括:界面友好性测试、功能测试、链接测试、容错测试、稳定性测试、常规性能测试、配置测试、算法测试等等。


     

    1.1.1 界面友好性测试

    1. 风格、样式、颜色是否协调
    2. 界面布局是否整齐、协调(保证全部显示出来的,尽量不要使用滚动条
    3. 界面操作、标题描述是否恰当(描述有歧义、注意是否有错别字)
    4. 操作是否符合人们的常规习惯(有没有把相似的功能的控件放在一起,方便操作)
    5. 提示界面是否符合规范(不应该显示英文的cancel、ok,应该显示中文的确定等)
    6. 界面中各个控件是否对齐
    7. 日期控件是否可编辑
    8. 日期控件的长度是否合理,以修改时可以把时间全部显示出来为准
    9. 查询结果列表列宽是否合理、标签描述是否合理
    10. 查询结果列表太宽没有横向滚动提示
    11. 对于信息比较长的文本,文本框有没有提供自动竖直滚动条
    12. 数据录入控件是否方便
    13. 有没有支持Tab键,键的顺序要有条理,不乱跳
    14. 有没有提供相关的热键
    15. 控件的提示语描述是否正确
    16. 模块调用是否统一,相同的模块是否调用同一个界面
    17. 用滚动条移动页面时,页面的控件是否显示正常
    18. 日期的正确格式应该是XXXX-XX-XX或XXXX-XX-XXXX:XX:XX
    19. 页面是否有多余按钮或标签
    20. 窗口标题或图标是否与菜单栏的统一
    21. 窗口的最大化、最小化是否能正确切换
    22. 对于正常的功能,用户可以不必阅读用户手册就能使用
    23. 执行风险操作时,有确认、删除等提示吗
    24. 操作顺序是否合理
    25. 正确性检查:检查页面上的form, button, table, header, footer,提示信息,还有其他文字拼写,句子的语法等是否正确。
    26. 系统应该在用户执行错误的操作之前提出警告,提示信息.
    27. 页面分辨率检查,在各种分辨率浏览系统检查系统界面友好性。
    28. 合理性检查:做delete, update, add, cancel, back等操作后,查看信息回到的页面是否合理。
    29. 检查本地化是否通过:英文版不应该有中文信息,英文翻译准确,专业。

    30. 背景灰度冻结

     

    1.1.2 功能测试

    1. 使用所有默认值进行测试

    2. 根据所有产品文档、帮助文档中描述的内容要进行遍历测试

    3. 输入判断

    4. 所有界面出现是和否的逻辑,要测试

    5. 异常处理

    6. 敏感词

    7. 根据需求文档的流程图遍历所有流程图路径

    8. 根据程序内容,遍历if elif else switch的逻辑点要遍历

    9. 界面各种控件测试

     

    如对于输入框测试:

    一、字符型输入框:

    1. 字符型输入框:英文全角、英文半角、数字、空或者空格、特殊字符“~!@#¥%……&*?[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时,使用“粘贴、拷贝”功能尝试输入。

    2. 长度检查:最小长度、最大长度、最小长度-1、最大长度+1、输入超工字符比如把整个文章拷贝过去。

    3. 空格检查:输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格

    4. 多行文本框输入:允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行,检查能否正确保存(若能,检查保存结果,若不能,查看是否有正常提示)、

    5. 安全性检查:输入特殊字符串

    (null,NULL,,javascript,<script>,</script>,<title>,<html>,<td>)、输入脚本函数(<script>alert("abc")</script>)、doucment.write("abc")、<b>hello</b>)

     

    二、数值型输入框:

    1. 边界值:最大值、最小值、最大值+1、最小值-1

    2. 位数:最小位数、最大位数、最小位数-1最大位数+1、输入超长值、输入整数

    3.异常值、特殊字符:输入空白(NULL)、空格或"~!@#$%^&*()_+{}|[]\:"<>?;',./?;:'-=等可能导致系统错误的字符、禁止直接输入特殊字符时,尝试使用粘贴拷贝查看是否能正常提交、word中的特殊功能,通过剪贴板拷贝到输入框,分页符,分节符类似公式的上下标等、数值的特殊符号如∑,㏒,㏑,∏,+,-等、

    输入负整数、负小数、分数、输入字母或汉字、小数(小数前0点舍去的情况,多个小数点的情况)、首位为0的数字如01、02、科学计数法是否支持1.0E2、全角数字与半角数字、数字与字母混合、16进制,8进制数值、货币型输入(允许小数点后面几位)、

    4. 安全性检查:不能直接输入就copy

     

    三、日期型输入框:

    1. 合法性检查:(输入0日、1日、32日)、月输入[1、3、5、7、8、10、12]、日输入[31]、月输入[4、6、9、11]、日输入[30][31]、输入非闰年,月输入[2],日期输入[28、29]、输入闰年,月输入[2]、日期输入[29、30]、月输入[0、1、12、13]

    考虑开始日期与结束日历的比较,特别是在查询的时候.

    2. 异常值、特殊字符:输入空白或NULL、输入~!@#¥%……&*(){}[]等可能导致系统错误的字符

    3. 安全性检查:不能直接输入,就copy,是否数据检验出错?

     

    1.1.3 业务流程测试(主要功能测试)

    业务流程,一般会涉及到多个模块的数据,所以在对业务流程测试时,首先要保证单个模块功能的正确性,其次就要对各个模块间传递的数据进行测试,这往往是容易出现问题的地方,测试时一定要设计不同的数据进行测试。

    如某一功能模块具有最基本的增删改查功能,则需要进行以下测试:

    1. 单项功能测试(增加、修改、查询、删除)

    2. 增加——>增加——>增加(连续增加测试)

    3. 增加——>删除

    4. 增加——>删除——>增加(新增加的内容与删除内容一致)

    5. 增加——>修改——>删除

    6. 修改——>修改——>修改(连续修改测试)

    7. 修改——>增加(新增加的内容与修改前内容一致)

    8. 修改——>删除

    9. 修改——>删除——>增加(新增加的内容与删除内容一致)

    10. 删除——>删除——>删除(连续删除测试)

     

    1.1.4 链接测试

    主要是保证链接的可用性和正确性,它也是网站测试中比较重要的一个方面。
    可以使用特定的工具如XENU来进行链接测试。

     

    1.1.5 容错测试

    1. 输入系统不允许的数据作为输入

    2. 把某个相关模块或者子系统停掉,验证对当前系统的影响

    3. 配置文件删除或者配置错误

    4. 数据库注入错误数据

     

    1.1.6 稳定性测试

    1. 系统不间断运行(7*24),验证是否内存泄露、系统其他资源是否存在泄露

    2. 如果很紧急上线,可以跑一晚上或者周末跑两天。

    一般压力很大的情况下,数据库连接数问题、内存泄露问题会曝露的比较快但是死锁可能不能体现,所以要看系统重要性,如12306稳定性则最好7*24小时

     

    1.1.7 常规性能测试

    1. 连接速度测试
    用户连接到Web应用系统的速度根据上网方式的变化而变化,他们或许是电话拨号,或是宽带上网。当下载一个程序时,用户可以等较长的时间,但如果仅仅访问一个页面就不会这样。如果Web系统响应时间太长(例如超过5秒钟),用户就会因没有耐心等待而离开。
    另外,有些页面有超时的限制,如果响应速度太慢,用户可能还没来得及浏览内容,就需要重新登陆了。而且,连接速度太慢,还可能引起数据丢失,使用户得不到真实的页面。

    2. 负载测试
    负载测试是为了测量Web系统在某一负载级别上的性能,以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量,也可以是在线数据处理的数量。例如:Web应用系统能允许多少个用户同时在线?如果超过了这个数量,会出现什么现象?Web应用系统能否处理大量用户对同一个页面的请求?

    3. 压力测试
    负载测试应该安排在Web系统发布以后,在实际的网络环境中进行测试。因为一个企业内部员工,特别是项目组人员总是有限的,而一个Web系统能同时处理的请求数量将远远超出这个限度,所以,只有放在Internet上,接受负载测试,其结果才是正确可信的。
    进行压力测试是指实际破坏一个Web应用系统,测试系统的反映。压力测试是测试系统的限制和故障恢复能力,也就是测试Web应用系统会不会崩溃,在什么情况下会崩溃。黑客常常提供错误的数据负载,直到Web应用系统崩溃,接着当系统重新启动时获得存取权。
    压力测试的区域包括表单、登陆和其他信息传输页面等

     

    1.1.8 易用性测试

    1. 系统界面的控件是否可以通过tab键遍历,并且顺序合理

    2. 主要功能的入口和操作是否易于理解

    3. 界面是否布局合理,功能是否易于查找和使用

    4. 操作步骤

    5. 操作习惯

    6. 有足够的提示信息,且信息文字描述准确

     

    1.1.9 兼容性测试

    兼容性测试不只是指界面在不同操作系统或浏览器下的兼容,有些功能方面的测试,也要考虑到兼容性,
    包括操作系统兼容和应用软件兼容,可能还包括硬件兼容
    比如涉及到ajax、jquery、javascript等技术的,都要考虑到不同浏览器下的兼容性问题。

     

    除了上面所说的这些测试以外,还有算法测试、配置测试、安全性测试等等,在工作中不断总结和分析,形成自己的功能测试框架,当你把这份工作做起来以后,对于你自己对于测试团队而言都是一份很有价值的事情,你的测试思路也会变得更全面。

    展开全文
  • 开发工具地址codekk 有深度源码分析网站址 http://www.codekk.com/open-source-project-analysis androidTools 开发常用android 工具 http://www.androiddevtools.cn/ android-arsenal 优秀框架排行 ...

    Android 整体框架图:http://www.oschina.net/news/73836/15-android-general-popular-frameworks
    常用的技术

    1. 缓存
      DiskLruCache Java实现基于LRU的磁盘缓存

    2. 图片加载
      Android Universal Image Loader 一个强大的加载,缓存,展示图片的库
      Picasso 一个强大的图片下载与缓存的库
      Fresco 一个用于管理图像和他们使用的内存的库

    3. 图片处理
      Picasso-transformations 一个为Picasso提供多种图片变换的库
      Glide-transformations 一个为Glide提供多种图片变换的库
      Android-gpuimage 基于OpenGL的Android过滤器

    4. 网络请求
      Android Async HTTP Android异步HTTP库
      AndroidAsync 异步Socket,HTTP(客户端+服务器),WebSocket,和socket.io库。基于NIO而不是线程。
      OkHttp 一个Http与Http/2的客户端
      Retrofit 类型安全的Http客户端
      Volley Google推出的Android异步网络请求框架和图片加载框架
      AndroidAnnotation 轻量级restful 网络请求框架

    5. 网络解析
      Gson 一个Java序列化/反序列化库,可以将JSON和java对象互相转换
      Jackson Jackson可以轻松地将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象
      Fastjson Java上一个快速的JSON解析器/生成器
      HtmlPaser 一种用来解析单个独立html或嵌套html的方式
      Jsoup 一个以最好的DOM,CSS和jQuery解析html的库

    6. 数据库
      OrmLite JDBC和Android的轻量级ORM java包
      Sugar 用超级简单的方法处理Android数据库
      GreenDAO 一种轻快地将对象映射到SQLite数据库的ORM解决方案
      ActiveAndroid 以活动记录方式为Android SQLite提供持久化
      SQLBrite SQLiteOpenHelper 和ContentResolver的轻量级包装
      Realm 移动数据库:一个SQLite和ORM的替换品

    7. 依赖注入

    ButterKnife 将Android视图和回调方法绑定到字段和方法上
    Dagger2 一个Android和java快速依赖注射器。
    AndroidAnotations 快速安卓开发。易于维护
    RoboGuice Android平台的Google Guice

    1. 图表
      WilliamChart 创建图表的Android库
      HelloCharts 兼容到API8的Android图表库
      MPAndroidChart 一个强大的Android图表视图/图形库

    2. 后台处理
      Tape 一个轻快的,事务性的,基于文件的FIFO的库
      Android Priority Job Queue 一个专门为Android轻松调度任务的工作队列

    3. 事件总线
      EventBus 安卓优化的事件总线,简化了活动、片段、线程、服务等的通信
      Otto 一个基于Guava的增强的事件总线

    4. 响应式编程
      RxJava JVM上的响应式扩展
      RxJavaJoins 为RxJava提供Joins操作
      RxAndroid Android上的响应式扩展,在RxJava基础上添加了Android线程调度
      RxBinding 提供用RxJava绑定Android UI的API
      Agera Android上的响应式编程

    5. Log框架
      Logger 简单,漂亮,强大的Android日志工具
      Hugo 在调试版本上注解的触发方法进行日志记录
      Timber 一个小的,可扩展的日志工具

    6. 测试框架
      Mockito Java编写的Mocking单元测试框架
      Robotium Android UI 测试
      Robolectric Android单元测试框架
      Android自带很多测试工具:JUnit,Monkeyrunner,UiAutomator,Espresso等

    7. 调试框架
      Stetho 调试Android应用的桥梁,使得可以利用Chrome开发者工具进行调试

    8. 性能优化
      LeakCanary 内存泄漏检测工具
      ACRA Android应用程序崩溃报告

    IOS 常用框架待续…

    展开全文
  • 信息泄漏漏洞

    千次阅读 2020-12-21 19:25:16
    文章目录那么到底什么是信息泄漏漏洞?信息公开的例子有哪些?...信息泄露,是指网站在无意间的情况下向用户泄露的敏感信息。结合上下流量包信息网站可能会将各种各样的信息泄漏给潜在的攻击者。 包
  • Android开发 内存泄露检测框架LeakCanary 前言  挖坑后续填坑  中文网站:https://www.liaohuqiu.net/cn/posts/leak-canary-read-me/  gitbub:https://github.co...
  • Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们SINE安全在对该套系统进行漏洞测试的时候,发现存在REC漏洞.主要是XSRF漏洞,下面...
  • 在MFC框架下使用osg报内存泄露的解决办法。
  • 安装【urlscan】,之前看有博客说winserver2008r2出现的头信息泄露漏洞可以用这个工具修复,于是尝试了一下winserver2012,win10的iis8.5 安装默认目录:【C:\Windows\System32\inetsrv\urlscan】 下载地址 : ...
  • 漏洞描述 ...ThinkPHP 报错页面存在漏洞,可能导致网站敏感信息泄漏。 修复方案 在 ThinkPHP 入口文件中,把APP_DEBUG参数设置为false。 注意:在修改前请做好备份,或为 ECS 建立硬盘快照。 ...
  • 最近几周,一直忙着处理上届毕业学长的遗留项目问题,一个基于Spring-Struts-Hibernate框架网站系统。上线那边隔几天系统就崩溃一次,真是弄得人心惶惶,终于测试人员还是发现了报错的log…OOM(Out Of Memory,...
  • JeeSite 企业信息管理系统基础框架

    千次阅读 2014-08-03 15:49:23
    主要定位于“企业信息管理”领域,可用作企业信息管理类系统、网站后台管理类系统等。JeeSite是非常强调开发的高效性、健壮性和安全性的。 JeeSite是轻量级的,简单易学,本框架以Spring Framework为核心、Spring...
  • 主要定位于“企业信息管理”领域,可用作企业信息管理类系统、网站后台管理类系统等。JeeSite是非常强调开发的高效性、健壮性和安全性的。 JeeSite是轻量级的,简单易学,本框架以Spring Framework为核心、Spring ...
  • (九)信息泄露

    2021-04-14 09:58:46
    根据上下文的不同,网站可能会将各种信息泄漏给潜在的攻击者,包括: 有关其他用户的数据,例如用户名或财务信息 敏感的商业或商业数据 有关网站及其基础架构的技术细节 泄露敏感的用户或业务数据的危险相当明
  • 【漏洞利用】信息泄露漏洞详解

    千次阅读 2021-01-24 22:23:02
    信息泄露网站无意向用户泄露敏感信息.可能包括以下内容: 有关其他用户私密数据的,财务信息,个人身份信息等 敏感的商业数据 有关网站技术细节,架构,如源代码等 二、漏洞原理 信息泄露可能是不慎泄露给浏览该...
  • 信息泄露网站无意向用户泄露敏感信息.可能包括以下内容: 有关其他用户私密数据的,财务信息,个人身份信息等 敏感的商业数据 有关网站技术细节,架构,如源代码等 这种泄露可能是不慎泄露给浏览该网站信息用户的,也...
  • 信息泄露漏洞

    千次阅读 2020-03-04 20:04:28
    信息泄露主要包括:敏感路径、服务器、中间件、框架版本等 实验环境:ubuntu 实验原理: 配置存放不当,导致web系统备份,数据库备份 用户数据文件,暴露在web系统上,引发信息泄露 实验内容: 一、目录遍历...
  • 铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。 下图是爆出的SQL语句,可以明显...
  • android 优秀框架整理

    万次阅读 多人点赞 2018-01-11 11:28:29
    程序员界有个神奇的网站,那就是github,这个网站集合了一大批优秀的开源框架,极大地节省了开发者开发的时间,在这里我进行了一下整理,这样可以使我们在使用到时快速的查找到,希望对大家有所帮助! 1. Retrofit...
  • 如果你要在Github或Gitee等网站开源自己的项目,请注意保管好隐私。当你开源了这些项目之后,就意味着每一个人都可以看你的源码。而很多情况下,你的源码里很可能包含一些很重要的信息,比如数据库的密码,或邮箱的...
  • 信息泄漏

    2020-05-29 08:52:15
    作者:实验室核心 cong1984 1、robots.txt泄漏敏感信息漏洞情况信息:搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网...
  • 月初听闻广东某高校(中山大学...在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等);从即日起,使用S2的信息系统(网站)将仅限校园网内访问。 作为信息安全爱好者,个人对学校的决定是举...
  • 铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。 下图是爆出的SQL语句,可以明显地...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢...这篇文章将分享Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。
  • 近期,有研究人员发现数百个使用Laravel框架网站由于调试设置出现错误,导致敏感数据泄露。而这些受影响的网站中就包括美国总统特朗普的官方竞选网站,可导致攻击者劫持该网站的电子邮件服务器。 Laravel是一个...
  • 第一种问题的实质是数据传输的安全,防止信息泄露。针对于这种情况,目前最好的办法就是使用HTTPS,而不是使用HTTP。 第二种问题实际上是在Web开发中经常遇到的安全问题——跨站请求伪造(CSRF/XSRF)。即攻击者...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 30,126
精华内容 12,050
关键字:

网站框架信息泄露