Yc 发布的文章

输入验证问题 Part1

目标:尝试在不知道任何用户名的情况下访问所有用户的数据。默认情况下有三个用户,您的任务是通过一次恶意搜索输出所有三个用户的数据。

提示:当输入在使用前未被过滤或验证时,会出现不正确或无输入验证问题。当开发从外部获取输入的组件时,请始终验证它。为了便于测试,数据库中已经存在三个用户,例如其中一个是admin,您可以尝试搜索admin来测试输出。

- 阅读剩余部分 -

不安全数据存储 Part1

目标:找出凭证存储的位置/方式以及易受攻击的代码

提示:不安全的数据存储是系统上不安全地存储机密信息的结果,即加密不良、纯文本、访问控制问题等

- 阅读剩余部分 -

不安全的日志记录

将一些敏感信息作为日志记录,输出到控制台

  • 目标:找出记录在何处/如何记录的内容以及易受攻击的代码。
  • 提示:当开发人员有意或无意地记录敏感信息(如凭据、SessionID、财务详细信息等)时,会发生不安全的日志记录。

- 阅读剩余部分 -

DIVA

Github项目地址:DIVA

DIVA(Damn insecure and vulnerable App)是故意设计为不安全的应用程序。我们正在发布Android版本的Diva。我们认为这是通过向安全社区做出贡献来开始新的一年的好方法。该应用程序的目的是向开发人员/质量保证/安全专业人员传授由于不良或不安全的编码习惯而在应用程序中普遍存在的缺陷。如果您正在阅读本文,则想学习App渗透测试或安全编码,我衷心希望DIVA能解决您的问题。因此,请坐下来享受旅程。

- 阅读剩余部分 -