转：攻击JavaWeb应用[6]-程序架构与代码审计

【转：攻击JavaWeb应用[6]-程序架构与代码审计】的更多相关文章

转：攻击JavaWeb应用[6]-程序架构与代码审计

转:http://static.hx99.net/static/drops/tips-429.html 攻击JavaWeb应用[6]-程序架构与代码审计园长 · 2013/08/12 16:53 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限.这一节重点是怎样去找到并利用问题去获取一些有意思的东西. Before: 有MM的地方就有江湖,有程序的地方就有漏洞.现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源…

黑客攻防技术宝典web实战篇：攻击应用程序架构习题

猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 假设受攻击的应用程序使用两台不同的服务器:一台应用程序服务器和一台数据库服务器.已经发现一个漏洞,可以在应用程序服务器上执行任意操作系统命令.是否可以利用这个漏洞获取保存在数据库中的敏感应用程序数据? 几乎可以肯定能够利用该漏洞获取保存在数据库中的应用程序数据.应用程序本身必须拥有访问自己的数据所需的证书和权限.可以检查服务器端应用程序的脚本和配置文件,以了解它如何访问应用程序.要对所发…

转：攻击JavaWeb应用[7]-Server篇[1]

转:http://static.hx99.net/static/drops/tips-604.html 攻击JavaWeb应用[7]-Server篇[1] 园长 · 2013/09/22 15:39 java应用服务器 Java应用服务器主要为应用程序提供运行环境,为组件提供服务.Java 的应用服务器很多,从功能上分为两类:JSP 服务器和 Java EE 服务器. 常见的Server概述常见的Java服务器:Tomcat.Weblogic.JBoss.GlassFish.Jetty.Res…

转：攻击JavaWeb应用[5]-MVC安全

转:http://static.hx99.net/static/drops/tips-347.html 攻击JavaWeb应用[5]-MVC安全园长 · 2013/07/25 13:31 注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想.MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2.SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全,由浅到深尽…

大型JavaScript应用程序架构模式

11月中旬在伦敦举行的jQuery Summit顶级大会上有个session讲的是大型JavaScript应用程序架构,看完PPT以后觉得甚是不错,于是整理一下发给大家共勉. PDF版的PPT下载地址:http://www.slideshare.net/jibyjohnc/jqquerysummit-largescale-javascript-application-architecture 注:在整理的过程中,发现作者有些思想是返来复去地说,所以删减了一部分,如果你的英文良好,请直接阅读英文的…

转：攻击JavaWeb应用[9]-Server篇[2]

转:http://static.hx99.net/static/drops/papers-869.html 攻击JavaWeb应用[9]-Server篇[2] 园长 · 2014/01/22 12:58 注:在继后门篇后已经有很长时间没更新了,这次一打算写写Server[1]的续集.喜欢B/S吗?那我们今天干脆就来写一个简单的“Web服务器”吧. 0x01 WebServer Web服务器可以解析(handles)HTTP协议.当Web服务器接收到一个HTTP请求(request),会返回一个H…

转：攻击JavaWeb应用[4]-SQL注入[2]

转:http://static.hx99.net/static/drops/tips-288.html 攻击JavaWeb应用[4]-SQL注入[2] 园长 · 2013/07/18 17:23 注:这一节主要是介绍Oracle和SQL注入工具相关,本应该是和前面的Mysql一起但是由于章节过长了没法看,所以就分开了. 0x00 Oracle Oracle Database,又名Oracle RDBMS,或简称Oracle.是甲骨文公司的一款关系数据库管理系统. Oracle对于MYSQL.MS…