数据库审计 数据库审计（DBAudit）能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助…

主要是从安全设备运维、安全平台运维(保垒机) 、日志分析系统、安全上线流程  监控平台等这几个模块进行安全建设 安全设备运维         主要是从硬件及软件两方面进行运维 安全平台运维(保垒机)           …

描述 根据 OWASP， 开放重定向出现在应用接受参数并将用户重定向到该参数值， 并且没有对该值进行任何校验的时候。 这个漏洞用于钓鱼攻击， 便于让用户无意中浏览恶意站点， 滥用给定站点的信任并将用户引导到另一个站点， …

【转载】【非常不错的参数污染(HPP)案例】 数据污染的逻辑漏洞探索 一：先来看一个真实案例 这是国内某p2p平台账户余额功能   在账户余额的首页我们注册了账号进去以后发现余额是0元，需要充值才能进行投资理财…

通俗地理解OAuth2.0的授权码模式 0x0、理解完整流程 第一步：用户点击登录   第二步：用户根据第一步的指引访问第三方平台（统一登录中心） 第三步：验证用户名密码的准备 第四步：验证用户名密码 &nbs…

通返回数据包， 验证码回显，造成问题比较严重(注册、找回密码、支付等) 请求提交，查看返回包 把返回信息中token中值修改成，对于泄漏中的信息完成注册 http://xxx.com/user/activeUser?to…

客户端提交验证请求后，服务端进行验证，然后返回到客户端验证结果，该验证结果可以通过抓取返回包进行修改，从而欺骗客户端我们已经通过服务端验。 提交把返回包的信息修改如下 注册成功，登录查看 修复方案: 不要在前端做验证判断…

原因： 获取的Token与账号未做好绑定，造成可重置任意账号密码 注：账号一般指（手机号，email，ID等) 案例： 修复方案： 做好账号与Token的绑定

密码重置接口可重置任意用户密码 案例：   修复方案： 重置密码接口做好令牌(token)验证

#Token的生成（算法）可预测，造成可任意用户的注册（或密码找回） 案例： 邮件发送成功 构造Token Md5(336699@qq.com) = 790fe51784d423a404aca5e3f60925ef 激活…