Web??????????????
???????????? ???????[ 2017/6/23 11:44:40 ] ??????????? web????
?????????????????????α??
???????????????ó????????
??????в??????????????
???????δ???????????????Σ?????????
?????????????????????????????????????????????????????????????????
???????????????????????cookie???????????????o???????????????????????????????????????????????
???????????Web????????????????????Web??楨????????
???????????????????????????????????????????????????????????????????δ???????????????????????????????????????
????“???????”????????????????????????URL?????????????????????????????URL?????????????????????????????????????URL???????????????????????????????????????????????????????????????????
?????????Щ???????????????????????????????????????????????????Щ???????????????????????????????????????????
????“???????”????????δ???????????г???????????μ????????????????????????з?????????????????????????????Σ????????????У?????п??????URL??????????????????????????
??????????“???????”?????????????????“www.vulnerable.com”????????“name”?????????????????????
????????????HTTP://www.vulnerable.com/greet.asp?name=JohnSmith
???????????????????
????<HTML>
????<BODY>
????Hello??JohnSmith.
????</BODY>
????</HTML>
????????????????????????????????
????HTTP://www.vulnerable.com/greet.asp?name=<IMGSRC="http://www.ANY-SITE.com/ANY-SCRIPT.asp">
??????????????????
????<HTML>
????<BODY>
????Hello??<IMGSRC="http://www.ANY-SITE.com/ANY-SCRIPT.asp">.
????</BODY>
????</HTML>
?????????????????????????п?????????????????????????????????κ?????????????????“???????”??????????????????????????
????[-]?????????α??
????[-]???????????
????[-]???????
?????????????
???????????????ó????????
??????в??????????????
???????δ???????????????Σ?????????
?????????????????????????????????????????????????????????????????
??????????????????????????????????????й?????α????????????????????????????????壬????????????Щ????????????????????????????????????????????Щ????????????????????????????????????????????????“????”??
???????????п???????ж????????frame??iframe?????????????????????п????????????????????????????????????????????????????????????????ε?????????????????????α?????????????????У???????????????????????????????????????????????
????Missing"Content-Security-Policy"header
???????????????ó????????
??????в???????й?
???????Web??ó?????????ò????
??????????????????????й?Web??ó?????????????????????????????????/????????λ??
????????????????????????????????????????????????????????
????Missing"X-Content-Type-Options"header
???????????????ó????????
??????в???????й?
???????Web??ó?????????ò????
??????????????????????й?Web??ó?????????????????????????????????/????????λ??
????????????????????????????????????????????????????????
????Missing"X-XSS-Protection"header
???????????????ó????????
??????в???????й?
???????Web??ó?????????ò????
??????????????????????й?Web??ó?????????????????????????????????/????????λ??
????????????????????????????????????????????????????????
????SSL ?????е???????
???????????????ó????????
??????в???????й?
????????????????? SSL ??????????????????????????
??????????????????ó??????????????? SSL ?????????????? HTTP ????? Query ?????д?????????????????????????????????????????????? URL?????а??????????????????
????????????????????????????????????? HTTP POST?????? URL ??????е??????????????????????й? URL????????
????????н???????????
???????????????ó????????
??????в???????й?
???????Web ??ó?????????ò????
??????????????????????й? Web ??ó?????????????????????????????????/????????λ??
????????????????????????????????????????????????????????
??????????????GET ??????????????????????????? POST ??????????????????????????????????????????????????????????????????????????????????????????з?????????????????????????????????????????????????????????????????????????????а??????????棬????????????????????????????????????????????????????????????????????????????????????????????????????
???????????????? SSL ???
???????????????ó????????
??????в???????й?
????????????????????????????????
??????????????????????й? Web ??ó?????????????????????????????????/????????λ??
????????????????????£????? Web ??????????ó???????????????????????檔 ????????????? SSL ??檔
???????????? Web ??????????κ? SSL ???????????????????????????Σ??????????
?????????????????????
???????????????ó????????
??????в???????й?
????????????????????????????????
???????????????????????????????? cookie???????????????o???????????????????????????????????????????????
????????????????????£????? Web ??????????ó???????????????????????檔 ?????????????????檔
???????????? Web ??????????κε?????????????????????????????Σ??????????
?????????????
???????????????????????
??????в???????й?
???????Web ??ó?????????ò????
????????????????????????????????????????????й???ó?????????????????????????????????????
??????????????AppScan ???????????????????????????????????????????????????????????????????е?????磺GET /DIR1.zip HTTP/1.0 ?? GET /DIR2.gz HTTP/1.0
?????????????????????????????????????κ?????????????????п???????2????????????????????????????????????
???????????????
????http://[SERVER]/[DIR].zip
??????????????
???????????????????????
??????в????????????λ??
?????????????????????????????
????????????????????????????????????й???ó?????????????????????????????????????
??????????????Web ????????????“???????????CGI??”???????????? .pl???? Perl ????????????????????? ?? URL ·????β?? .pl ???·??????????????????? Perl ??У????????????????????? ??????????????λ???????????????????????μ????????????????????????????????????磺.bak??.sav??.old??~ ????Web ??????????????Щ???????????????????? ????????????????????????????????????????????
?????????????3????Щ?????????????????????????е????????????????????????????в???????????????????????????ó????????????
??????? HTTP Strict-Transport-Security ?
???????????????ó????????
??????в???????й?
???????Web ??ó?????????ò????
??????????????????????й? Web ??ó?????????????????????????????????/????????λ??
????????????????????????????????????????????????????????
??????????????HTTP ?????? (HSTS) ???????? (HTTPS) Web ???????????????? HTTP ???????????? Web ??????????????????Web ????????????????????????????????????????e?? HTTPS ?????????????ò?????? HTTP Э?顣HTTP ???????????????????????????“Strict-Transport-Security”???????????????????????????????????? HTTPS ??????????????Ρ?????????????“includeSubDomains”??“preload”??
????????????????
???????????????ó????????
??????в????????????λ??
???????Web ??????????ó?????????????????????????
????????????????????????????????? Web ??ó?????????????
?????????????????????????????????????????????????????檔???????????????????????????
?????????????????????δ???????????????????????????????2?????????? admin.php??admin.asp??admin.cgi??admin.html ???????????Щ??檔
???????????????????????漰???????????????????SPASVOС??(021-61079698-8054)?????????????????????????
??????
Web?????????????????Web????????????????Docker Compose???????Web???????WEB?????ΧС??APP??????WEB????WEB???????????????WEB??????APP?????????Web??????????Web????????????Linux?????′?Java Web???????WEB?????ΧWeb?????Χ???Web??????????????HTTP(1)????Э??Web?????е?A/B?????????????????Web??????????Web??????ò?????????
???·???
??????????????????
2023/3/23 14:23:39???д?ò??????????
2023/3/22 16:17:39????????????????????Щ??
2022/6/14 16:14:27??????????????????????????
2021/10/18 15:37:44???????????????
2021/9/17 15:19:29???·???????·
2021/9/14 15:42:25?????????????
2021/5/28 17:25:47??????APP??????????
2021/5/8 17:01:11????????
?????????App Bug???????????????????????Jmeter?????????QC??????APP????????????????app?????е????????jenkins+testng+ant+webdriver??????????????JMeter????HTTP???????Selenium 2.0 WebDriver ??????
sales@spasvo.com