原创 kettle的入門與安裝
一、概述 1.kettle是什麼 Kettle是一款國外開源的ETL工具,純java編寫,可以在Window、Linux、Unix上運行,綠色無需安裝,數據抽取高效穩定。提供圖形化的操作界面,可以通過拖拽控件的方式,方便地定義數據
原创 CSRF的防範
CSRF(Cross Site Request Forgery)是常見的web攻擊,攻擊者誘使用戶訪問一個頁面,就以該用戶身份在第三方站點裏執行操作,進行攻擊。 CSRF的攻擊過程,往往是在用戶不知情的情況下構造了網絡請求。 1、添加驗
原创 滲透測試工具對比表
編號 工具名稱 工具介紹 適用範圍 優點 缺點 1 Metasploit Metasploit是一種框架,擁有龐大的編程員愛好者羣體,廣大編程員添加了自定義模塊,測試工具可以測試衆多操作系統和應用程序中存在的安全漏洞。人們在GitHub和
原创 滲透測試過程環節
PTES滲透測試執行標準是由安全業界多家領軍企業技術專家所共同發起的,期望爲企業組織與安全服務提供商設計並制定用來實施滲透測試的通用描述準則。PTES標準項目網站爲http://www.pentest-standard.org/,從20
原创 Python+Selenium log的日誌輸出格式
日誌格式 近期研究日誌模塊時,發現輸出的log不是自己想要的格式,研究了下,特意整理出四種風格,參考如下: 以下log背景:run_test.py執行腳本中,調用log方法:mylogger.info("Auto-Survey-test
原创 敏感數據的安全防範
1、不能任意在Cookie、Session、ServletContext中存放數據,對於這些對象中存放的數據,必須有統一定義、說明、Lifecycle的管理等。 2、對於敏感信息都必須保障其私密性。 在頁面顯示、操作交互中不可避免的會有一
原创 kettle輸出步驟
一、概述 數據庫表: • 表輸出 • 更新,刪除,插入/更新 • 批量加載(mysql,oracle) • 數據同步 文件: • SQL 文件輸出 • 文本文件輸出 • XM
原创 滲透測試關於道德倫理的忠告
作爲一名滲透測試者,我們可以擊敗安全防禦機制,但這僅僅是我們工作的一部分。當你進行滲透攻擊時,請記住如下的忠告: 不要進行惡意的攻擊; 不要做傻事; 在沒有獲得書面授權時,不要攻擊任何目標; 考慮你的行爲將會帶來的後果;
原创 WEB安全防範
1、Cookie的安全防範: 存儲於cookie中的敏感數據必須加密。 沒有特殊要求下,儘量使用會話cookie(非持久化)。 如果使用持久化cookie應該設置cookie超時。 激活cookie安全傳輸,表示創建的 cookie 只能
原创 kettle輸入步驟
一、輸入步驟概述 輸入步驟主要分爲以下幾類: • 生成記錄/自定義常量 • 獲取系統信息 • 表輸入 • 文本文件輸入 • XML 文件輸入 • Json輸入 • 其他輸入步驟
原创 安全漏洞生命週期
圍繞着安全漏洞生命週期所進行的攻防技術博弈一直以來都是安全社區永恆的話題,而一個典型的安全漏洞生命週期包括如下7個部分: 1)安全漏洞研究與挖掘: 由高技術水平的黑客與滲透測試師開展,主要利用源代碼審覈(白盒測試)、逆向工程(灰盒測試)
原创 頁面組件安全防範
1、頁面標籤必須關閉,屬性值必須加引號。 在頁面中使用的標籤不關閉,屬性值不加引號往往成爲被攻擊點,攻擊者很容易的利用這些漏洞進行注入。避免這些漏洞的出現可以提高被攻擊的可能。 2、Form提交方式必須選用POST。 Form默認的提交方
原创 跨站點腳本(XSS)防範
XSS的類型:反射型XSS、存儲型XSS、DOM型XSS 跨站點腳本防範的基本原則: 一切的輸入/輸出都是有害的,不要信任任何輸入/輸出數據。 所有傳遞過程都不能保障無侵入,執行前、存儲前、顯示前都要進行“數據清潔”。 所有的數據校驗、處
原创 安全體系七層內容
第一層: 實體安全 實體安全是信息系統安全的基礎。依據實體安全國家標準,將實施過程確定爲以下檢測與優化項目:機房安全、場地安全、機房環境/溫度/溼度/電磁/噪聲/防塵/靜電/振動、建築/防火/防雷/圍牆/門禁、設施安全、設備可
原创 防SQL注入規範
1、防SQL注入基本原則: 所有用戶輸入都必須進行合法性校驗。所有數據庫SQL操作必須參數化。 2、回收開發人員等操作生產庫權限。 減少開發人員、非DBA操作生產庫的權限;數據庫數據查詢要有權限分級和審覈。 3、儘量使用PreparedS