:::info
💡 根据 遗忘曲线:如果没有记录和回顾,6天后便会忘记75%的内容
笔记正是帮助你记录和回顾的工具,不必拘泥于形式,其核心是:记录、翻看、思考
:::
| 书名 | OWASP安全测试指南 |
|---|---|
| 作者 | 阿蒙 |
| 状态 | 待开始 阅读中 已读完 |
| 简介 | 为了在测试的时候,流程更清晰,更系统,不遗漏漏洞点,特根据owasp 安全测试指南V4来总结自己的一套方法论。 |
思维导图
用思维导图,结构化记录本书的核心观点。
错误处理
错误码
400,404,405,408,500,501等错误码,有时候会暴露一些信息,比如堆栈信息,使用的Java组件,web服务器,组件版本,系统类型等等。
400错误请求,404资源未找到,405方法不允许,408请求超时,500服务器错误,501方法未实现等。 一般是通过一些特殊字符,不存在的路径,不存在的HTTP方法,字符超长来触发。 测试SQL注入就是利用这种方法,输入单引号,引发报错,暴露数据库信息。
栈追踪
和错误码是一样的,这个是程序错误,导致一些堆栈信息返回到HTTP页面。
非法输入 非字母数字字符 空输入 过长输入 未认证访问内部认证页面
若有收获,就点个赞吧
0 人点赞
