19.1 代码审查方法

19.1.1 “黑盒”测试与“白盒测试”

19.1.2 代码审查方法

1. 从进入点开始追踪用户向应用程序提交的数据，审查负责处理这些数据的代码
2. 在代码中搜索表示存在常见漏洞的签名，并审查这些签名
3. 对内在的危险代码进行逐行审查，理解应用程序的逻辑，并确定其中存在的所有问题

19.2 常见漏洞签名

19.2.1 跨站点脚本

19.2.2 SQL注入

19.2.3 路径遍历

19.2.4 任意重定向

19.2.5 OS命令注入

19.2.6 后门密码

19.2.7 本地代码漏洞

1. 缓冲区溢出漏洞
2. 整数漏洞
3. 格式化字符串漏洞

19.2.8 源代码注释

19.3 Java平台

19.3.1 确定用户提交的数据

19.3.2 会话交互

19.3.3 潜在危险的API

1. 文件访问
2. 数据库访问
3. 动态代码执行
4. OS命令执行
5. URL重定向
6. 套接字

19.3.4 配置Java环境

19.4 ASP.NET

19.4.1 确定用户提交的数据

19.4.2 会话交互

19.4.3 潜在危险的API

1. 文件访问
2. 数据库访问
3. 动态代码执行
4. OS命令注入
5. URL重定向
6. 套接字

19.4.4 配置ASP.NET

19.5 PHP

19.5.1 确定用户提交的数据

19.5.2 会话交互

19.5.3 潜在危险的API

1. 文件访问
2. 数据库访问
3. 动态代码执行
4. OS命令注入
5. URL重定向
6. 套接字

19.5.4 配置PHP环境

1. 使用全局变量注册
2. 安全模式
3. magic quotes
4. 其他

19.6 Perl

19.6.1 确定用户提交的数据

19.6.2 会话交互

19.6.3 潜在危险的API

1. 文件访问
2. 数据库访问
3. 动态代码执行
4. OS命令注入
5. URL重定向
6. 套接字

19.6.4 配置Perl环境

19.7 JavaScript

• 读取基于DOM的数据以及写入或以其它烦烦烦修改当前文档的API

19.8 数据库代码组件

19.8.1 SQL注入

19.8.2 调用危险的函数

19.9 代码浏览组件

19.10 小结

19.11 问题

黑客攻防技术宝典（十九）相关推荐

1. 黑客攻防技术宝典（九）

   第9章 攻击数据存储区 9.1 注入解释性语言 9.2 注入SQL 9.2.1 利用一个基本的漏洞 9.2.2 注入不同的语句类型 9.2.3 查明SQL注入漏洞 9.2.4 "指纹&quo ...

2. 热评一箩筐——《黑客攻防技术宝典》

   < 黑客攻防技术宝典: Web实战篇 > 自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的). 下面是我们收集的读者对这本书的 ...

3. 跟安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典：web实战篇》

   跟安全技术大师学习黑客攻防技术 --<黑客攻防技术宝典: web 实战篇> 随着网络技术的快速发展以及网络带宽的不断扩张, Web 应用程序几乎无处不在,渗透到社会的经济.文化.娱乐等各个 ...

4. 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1：了解Web应用程序

   读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...

5. 《黑客攻防技术宝典：Web实战篇》习题答案(一)

   译者按:以下为<黑客攻防技术宝典:Web实战篇>一书第二版中的习题答案,特在此推出.如果读者发现任何问题,请与本人联系.英文答案请见:The Web Application Hacker' ...

6. 《黑客攻防技术宝典Web实战篇》.Dafydd.Stuttard.第2版中文高清版pdf

   下载地址:网盘下载 内容简介 编辑 <黑客攻防技术宝典(Web实战篇第2版)>从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题.每章后还 ...

7. 黑客攻防技术宝典web实战篇：核心防御机制习题

   猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...

8. 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典：web实战篇》

   媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...

9. 黑客攻防技术宝典（二十）

   Web应用程序黑客工具包 20.1 Web浏览器 20.2 集成测试套件 20.2.1 工作原理 20.2.2 测试工作流程 20.2.3 拦截代理服务器替代工具 20.3 独立漏洞扫描器 20.3. ...

最新文章

1. Jmeter工具中参数化、正则表达式提取器、响应断言的实现
2. c 连接oracle的参数,[20210203]19c登录连接改变一些参数.txt
3. 那些年我用过的SAP IDE
4. android的33种常用组件1
5. Python环境 及安装
6. request获取mac地址_【Go】获取用户真实的ip地址
7. 在Spring Rest模板中跳过SSL证书验证
8. 【渝粤教育】广东开放大学 系统工程 形成性考核 (25)
9. SM4 ECB加密模式 数据对比试验论证
10. 如何在Docker中列出容器
11. qtqpixmap不出现图片_亚马逊对产品图片有哪些基本要求
12. 小程序布局中class='container'的bug
13. 微信小程序报错 40125 已解决
14. 如何开始做股票量化交易？
15. 文曲星猜数字用c语言编程,文曲星中的猜数字游戏，要猜一个四位数,有什么通用公式?...
16. 【Web技术】1139- 手把手教你实现手绘风格图形
17. 进程和线程的主仆问题
18. 满庭芳国色 高清剪图 桃红 上
19. Python 音频随机播放器脚本
20. 安全联网设备客户端登录

热门文章

1. javaeye使用流量统计分析( 量子恒道统计)
2. 三国杀游戏基于.NET,Winform(开源项目长期维护)毕业设计C#
3. freebsd 做文件服务器,FreeBSD做服务器
4. 【Linux学习随笔】三、shell语法-echo命令
5. 浅谈LCA问题（最近公共祖先）（三种做法）
6. 【c语言】在数组的指定位置插入一个元素
7. C站最简单入门并且手把手教你学数组
8. 聚观早报 | 苹果iOS 16正式版发布；任天堂直面会即将举办
9. 某宝版千峰2018最新Python全栈开发加人工智能视频教程-尹成
10. 联想Y470P硬件升级SSD+DDR全攻略