J2EE安全——关于SQL注入、XSS、跨站点请求伪造的漏洞利用完整例子

itwriter 发布于 2015/11/09 21:17
阅读 799
收藏 2

我是个j2ee程序员,最近开始处理一些安全相关的问题,但没有安全方面的经验。

希望大家能推荐本书或者几篇文章,可以完整的展示SQL注入、XSS、跨站点请求伪造这三个问题的完整利用过程——再怎么简单都行(但希望是针对J2EE网站的,漏洞的站点我可以自己写一个出来用于测试),关键是攻击和利用的步骤足够完整可以复现。千万不要往页面嵌入个alert, 或者用SQL注入爆出个无关紧要的表出来就算了——对于缺乏基础的人而言, 只到这一步的话还是看不懂,难以明白攻击入侵的流程啊。

——背景分割线————

我们安全扫描用的是IBM的appscan,扫出来一些问题。结合IBM的报告和网上一些资料,大概能处理。但感觉这样不行,太依赖appscan,毕竟工具始终只是工具,不灵活,总感觉即使瞒过appsacan, 哪天真有恶意攻击者用点变种的攻击手段,服务器估计还是得跪。appscan的测试手段往往点到为止,比如使response嵌入alert脚本,或者SQL注入使服务器返回500. 但我完全不知道攻击者会如何利用这些漏洞。恶意代码又指的是什么代码??

在网上找了点黑客文章、书籍。但书籍多数只讲原理,不适合入门;而黑客文章不是难以复现(年代过于久远),就是不完整——作者总是做到某一步就点到为止,似乎读者应该知道下一步该怎么做了。但臣妾真的不知道啊!

所以,只能来做个可耻的伸手党了。


加载中
1
yuuyuu
yuuyuu
书籍:《白帽子讲web安全》,阿里巴巴资深总监、阿里云云盾的负责人吴翰清写的。你想要的都有。
itwriter
itwriter
我正在下…… 因为扫描版都没有目录吧?没有目录的pdf查阅效率太低. 而且听说过作者的一点传闻,也看过百科上关于这本书的目录,感觉应该是我要找的书,就买了。
yuuyuu
yuuyuu
回复 @itwriter : 怎么不下pdf版的。马上就可以看了。
itwriter
itwriter
刚把书买了,期待ing…… 谢谢推荐
0
南湖船老大
南湖船老大
千万不要往页面嵌入个alert, 或者用SQL注入爆出个无关紧要的表出来就完事了。
说实话啊,看到这句话我就不想回复你了。这就是注入的本质,你会了这个,要什么你说的很厉害的效果就看你需要什么了
itwriter
itwriter
回复 @南湖船老大 : 还是因为没有安全基础,所以才来问下。你问我需要什么,小白哪儿知道啊?小白知道要攻击要入侵,但即使跟着教程做,还是要懵逼。对于整个流程都不了解的小白的人来说,那些所谓的教程用户体验实在太差了。(毕竟是免费的文章,人家愿意写就不错了,哪会考虑好看不好看的,又不是卖小说的) 所以来问问同行,找些系统些的资料,没有入门的情况下,绝大部分的黑客文章着实难懂。
南湖船老大
南湖船老大
回复 @itwriter : 嗯,其实你要爆出什么全看你需要什么了,这里就是发挥你想象力的地方了。安全问题就是程序员觉得很无所谓的地方,然后黑客加以自由发挥,从小问题变成大问题的
itwriter
itwriter
我这句话原意不是对注入技术本身很不屑,而是想说,对于小白而言,“大牛”眼中的琐碎细节其实是建立一个基本简单的知识系统的基础。当然,我原文表述不够准确,这就改。
0
不正经啊不正经
不正经啊不正经
对输入参数的过滤和检验,还有文件上传漏洞等等,对某些输出的参数也要进行处理
0
_A_J
_A_J

乌云上案例一把一把的。。。

你这个根本不是步骤不完整的问题,你自己写个破站点,服务器完爆也没什么了不起,你把qq用户表搞出来,再缺乏基础的人也知道该咋办了

返回顶部
顶部