March 27, 2017

OWASP TOP 10 浅显解读

OWASP的全称是Open Web Application Security Project,开放式网络应用安全项目,官网在https://www.owasp.org/index.php/Main_Page

OWASP组织最近一次正式发布TOP10是在2013年,官网介绍页面是https://www.owasp.org/index.php/Top_10_2013-Top_10

A1-注入

注入,例如SQL注入,操作系统注入,LDAP注入等等,一般发生在命令或者查询中包括了不可信任的数据,并且被发送到了解释器(解释命令或者查询的软件)。攻击者的攻击数据可以出发解释器来执行一些不怀好意的命令......

January 05, 2017

AttackAPI安装教程

本文用来描述部署AttackAPI环境,网上搜了一些教程和内容,有的描述太简单,有的描述已过时,总有这样那样的问题,自己又是一个小白前端,摸索了好一会儿才搞明白,于是记录此文。

0x00 AttackAPI简介

AttackAPI是一个基于Web的攻击构造库,开源项目,作者此软件的官网在http://www.gnucitizen.org/blog/attackapi/.

曾经的源代码放在google code上,不过后来此网站关门了,有很多人将此工程收藏在github上了,在github上搜索attackapi可以得到源代码。

0x01 配置

为了防止以后代码失传,我fork了一份......