【JSRC小课堂预告】Web安全专题(二)逻辑漏洞的burpsuite插件开发

百家 作者:京东安全应急响应中心 2020-02-05 09:58:01

Web作为一个公司对外提供服务的入口,如果开发者的安全意识不强,就会导致Web应用安全问题层出不穷。黑客往往以Web漏洞为入口,进而操作和控制网站,最终达到入侵的目的。




JSRC小课堂第148期,将继续就Web安全专题进行讨论,对Web安全漏洞中存在率较高的逻辑漏洞知识做出讲解。


>>>>上期笔记

逻辑漏洞中的认证缺失和认证缺陷漏洞,主要指功能级访问控制缺失,出现任意增删改查用户信息的情况。实际业务场景中,这类漏洞大概两个成因,上线前没有做好认证处理,或权限环节控制不到位。基于工具开发,我们可以通过域名信息收集、站点信息爬取、规则的分析与提取,以及批量处理结果分析与展示四个环节快速发现认证缺失漏洞和认证缺陷漏洞。

延伸阅读【JSRC小课堂】Web安全专题(一)


>>>>本期议题:

Burp Suite是Web应用程序渗透测试集成平台,常被用来进行网站渗透测试。Burp Suite提供了丰富的开发接口,且支持Java、Python、Ruby语言的扩展。虽然目前业内不乏优秀的工具,但通用化的工具不能完全符合Web安全测试人员的特定需求。本期JSRC小课堂将和大家探讨,如何根据实际需求开发出提高安全测试效率的工具,以支持逻辑漏洞的挖掘。


>>>>本期嘉宾:

本期内容要点

1. burpsuite插件开发的环境配置

2. 插件开发的关键接口使用实例展示

3. 逻辑漏洞检测插件开发讲解

4. 逻辑漏洞检测插件开发效果演示

往期逻辑漏洞相关分享回顾

1. 密码找回逻辑漏洞小总结—安全小课堂第三十五期

2. 交易支付逻辑漏洞小总结—安全小课堂第三十六期

3. 安全小课堂第八十九期【web漏洞之逻辑漏洞挖掘】

4. 安全小课堂第125期【业务逻辑漏洞挖掘】









开课时间:本周五下午15:30-16:00

QQ开课群:464465695


关于漏洞

京东安全相关漏洞请提交至

https://security.jd.com/


关于本期主题,你有想交流的问题或见解么?

欢迎留言或私信小妹

我们将挑选2-3个进行探讨


上期错过了心仪的鼠年公仔?

本期安排上!!!

 课堂中有价值提问量最多的3名小伙伴将获得JSRC寄出的幸运公仔


这是JSRC安全小课堂

持续陪伴你的第

3330


交流、沉淀、分享


 关注JSRC

获取小课堂往期合辑




                               




关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接