OWASP安全测试

16.1 Socket 端口扫描技术

端口扫描是一种网络安全测试技术,该技术可用于确定对端主机中开放的服务,从而在渗透中实现信息搜集,其主要原理是通过发送一系列的网络请求来探测特定主机上开放的TCP/IP端口。
孤风洗剑·2023-10-21 08:31

持续安全测试简介

持续安全测试(CST)是验证您的防御措施的持续过程,以了解它们是否可以抵御新出现的威胁。该流程旨在识别漏洞、评估安全控制的有效性并确保持续的安全合规性。
网络研究院·2023-10-21 06:51

web安全测试之 xss攻击

web安全测试之xss攻击软件测试资源分享|免费软件测试资料一、背景知识1、什么是XSS攻击?
@谷哥·2023-10-20 14:10

XSS攻击(2), XSS分类, 测试方法, 防御方法, 绕过方法

此外,渗透测试工具和框架,如BurpSuite或OWASPZAP,可以帮助自动化一些测试任务并识别潜在的漏洞点。
DeltaTime·2023-10-20 14:06

APP应用安全测试

本篇文章摘自《软件测试技术趋势白皮书》章节随着移动互联网和通信技术的不断发展,移动应用在各行各业得到了井喷式的高速增长。移动应用也成为人们日常生活不可或缺的组成部分。移动应用快速发展的同时,其涉及系统和信息的安全问题越来越突出。根据CheckPoint发布的《2021年移动安全报告》显示,在过去一年新冠疫情期间,远程办公方式大规模兴起,移动攻击面也急剧扩大,97%的组织面临着来自多个攻击向量的移动
软件工程资讯前沿·2023-10-20 07:32

移动App基本测试流程是什么?

移动App测试涉及很多内容,如安全测试,含软件权限、安装与卸载安全性、数据安全性、通讯安全性、人机接口安全性;安装、卸载测试、UI测试、导航测试、图形测试、内容测试、运行、应用的前后台切换、数据更新、离线浏览
测试小扎·2023-10-20 07:02

移动app安全检测报告有什么作用?

移动app安全测试是一项至关重要的任务,它能够帮助确保移动应用程序在使用过程中不会受到各种安全威胁的侵害。在如今移动应用程序日益普及的时代,移动app安全测试尤为重要。
卓码测评·2023-10-20 07:30

linux 漏洞 msf,Kali Linux漏洞扫描、漏洞利用、MSF木马生成及权限提升篇

一、KaliLinux漏洞扫描Web层面:Kali自带的owasp-zap、w3af系统层面:Openvas、Nessus二、KaliLinux漏洞利用1、漏洞利用复现MS17-010测试msf5>useexploit
一代目·2023-10-20 03:39

OWASP固件安全性测试指南

原文地址固件安全评估,英文名称firmwaresecuritytestingmethodology简称FSTM。该指导方法主要是为了安全研究人员、软件开发人员、顾问、爱好者和信息安全专业人员进行固件安全评估。前景我们基于FSTM进行测试流程如下:ID阶段描述1信息收集固件的相关技术文档的详细使用说明2获取固件使用本文中介绍的多种办法获取固件3分析固件固件的功能、特性4提取文件系统从固件中获取文件系
「已注销」·2023-10-20 01:20

2017-2018-2 20179207 《网络攻防技术》第五周作业

kali漏洞分析之数据库评估(一)(二)web层与数据库连接的漏洞在安全测试中并不少见,owasp曾经的top之首sql注入漏洞。
weixin_30872671·2023-10-19 22:53

备考第一天

第一篇软件测试概论、软件测试基础、软件质量与评价(软件测试标准)、软件测试过程与管理第二篇黑盒测试案例设计技术、白盒测试技术、面向对象的软件测试技术、应用负载压力测试、web应用测试、网络测试、安全测试与评估
兜冬风·2023-10-19 22:47

测试开发必备技能:Web安全测试漏洞靶场实战

关注上方“测试开发技术”,选择星标,干货技术,第一时间送达!安全在互联网行业,是一个对专业性较强,且敏感的一个领域,所谓"一念成佛,一念入魔",安全技术利用得当,可以为你的产品、网站更好的保驾护航,而如果心术不正,利用安全漏洞去做一些未法牟利,则容易造成承担不必要的违法责任。在日常很容易被大家忽略的一点,在非授权的情况下,对网站进行渗透攻击测试,也是属于非合规操作,是触及法律法规的。因此对于大家在
测试开发技术·2023-10-19 15:32

如何绕过 Web 应用程序防火墙(WAF)?

在Web应用程序中发现远程命令执行漏洞并不罕见,「OWASPTop102017」榜单中,把“注入”放在第一位,就可见一斑:当攻击者把作为命令或查询的不可信数据发送给解释器时,会产生注入漏洞,如SQL,NoSQL
大方子·2023-10-19 15:30

前端技能图谱笔记

前端体系前端架构项开发规范目录规范、编码规范、按内容命名规范开发模型模块化方案,优化在模型中实现开发体系构建工具和组件化设计项目部署开发与部署打通前端统计性能统计、访问统计、用户行为统计、错误统计、安全监控安全测试安全意识和自动化高效开发测试等部署流程压缩合并
Fighting_No1·2023-10-19 13:41

接口测试系列之——接口安全测试

本文节选自其中的的「安全测试」章节。点击链接可下载完整版《2021接口测试白皮书》。
TesterHome·2023-10-19 12:32

httprunner

httprunner是一个开源的接口自动化测试框架,它基于Python语言编写,以YAML格式表达测试用例,支持接口测试、性能测试、安全测试等多种测试场景。
昔_年~·2023-10-19 12:40

2023年专业软件安全测试报告获取

在现今信息化时代,软件安全性问题愈加引起人们的重视。为了确保软件的安全性,软件安全性测试成为不可或缺的一环。软件安全性测试是指对软件系统进行全面、系统、综合的安全性评估和控制,旨在发现和证明软件系统存在的漏洞和安全隐患,为软件的使用和开发提供安全性的保障。一、软件安全性测试包含的测试类型1、功能安全性测试:测试软件是否符合设计要求,能够正确地完成预期功能。2、认证测试:测试软件是否符合相关认证标准
卓码测评·2023-10-19 06:53

移动App安全检测的必要性,app安全测试报告的编写注意事项

App安全测试报告是对App进行全面测试后的产物,它详细记录了App的安全性能和存在的安全问题。在编写App安全测试报告时,需要注意以下几点:1、准备工作:在编写报告之前,
卓码测评·2023-10-19 06:43

OWASP TOP-10(2023) API风险

OWASPAPI1对象级别授权失效(水平越权)攻击者就可以通过改变请求中的对象ID来绕过授权限制,从而获取敏感数据或者完全掌控账户。
mainnnnn·2023-10-19 02:35

Yakit工具篇:综合目录扫描与爆破的使用

简介(来自官方文档)目录扫描是一种常用的Web应用程序安全测试技术,用于发现Web应用程序中存在的可能存在的漏洞和弱点。
黄乔国PHP|JAVA|安全·2023-10-19 02:17

代码审查工具:Fortify

文章目录Fortify介绍支持语言下载安装下载安装Fortify破解Fortify使用Fortify代码扫描问题Fortify介绍FortifySCA是一个静态的、白盒的软件源代码安全测试工具。
汪敏wangmin·2023-10-18 13:19

安全测试与功能测试、渗透测试你知道有什么区别吗?

一、基本理解安全测试什么时候开始进行?安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。
yoyo小小汐~·2023-10-18 11:02

Gartner2022应用安全测试魔力象限

《Gartner2022应用安全测试魔力象限》报告,由DaleGardner、MarkHorvath及DionisioZumerle三名作者共同撰写,完成时间:2022年3月24日。
Liam077·2023-10-18 09:12

Gartner 2022 应用安全测试魔力象限

《Gartner2022应用安全测试魔力象限》报告,由DaleGardner、MarkHorvath及DionisioZumerle三名作者共同撰写,完成时间:2022年3月24日。
Liam077·2023-10-18 09:12

API安全测试规范

1失效的对象级授权1.1概述失效的对象级别授权指未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据(直接的对象引用或限制的URL)。例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。1.2测试用例在发送的请求中改变对象的ID/shops/{shopName}/revenue_data.json通过遍历URL中的{shopName},攻
dandh·2023-10-18 06:00

抓包工具charles修改请求和返回数据

数据篡改的主要使用场景:(1)mock场景,mock入参和返回值参数,实现mock测试(2)安全测试,对于支付金额等比较重要的字段,可以修改请求参数来进行安全测试1.首先选择要篡改数据的接口,点击右键选择功能列表中的
软件测试曦曦·2023-10-18 05:33

Web安全入门基础知识(面试必背知识点总结)

目录0x01基础名词一、域名1.什么是域名2.域名在那里注册3.什么是二级域名,多级域名,顶级域名4.域名发现对于安全测试的意义二、DNS1.什么是DNS2.本地host和DNS的关系3.CDN是什么,
Jinmindong·2023-10-18 03:06

安全测试之XPath注入攻击

一、XPath注入攻击的概念Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。XPath注入攻击,是指利用XPath解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XPath查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情
nana-li·2023-10-18 03:05

CISP与NISP网络安全证书中渗透测试都需要了解什么?

第一阶段(渗透测试初级):kalilinux安全配置和优化、安全测试基本工具、burpsuite、Burp进行Web漏洞扫描与分析、OWASP_ZAP、SQLMAP从入门到精通、SQLMAP实战、BeEF
耿直学编程·2023-10-18 02:32

在功能测试中需要有安全测试思维(文尾附安全测试工具)

“什么是安全测试?为什么要做安全测试安全测试与功能测试之间有何联系?”
软件测试er·2023-10-18 00:50

如何绕过api的防重放做安全测试

一、问题引入:api接口测试,会检测请求头中的nonce参数的值,每次请求的值必须不同,否则发包失败笔者在进行api接口的测试时(因为菜没有工具,只能另辟蹊跷),使用postman+xray进行安全测试
dayouziei·2023-10-17 22:40

dvwa靶场Command Execution全难度教程(附带代码分析)

建议使用owaspbwa靶场可以不用搭建dvwa以及其他常用靶场,省去搭建靶场的困扰,但是此靶机靶场较老,并不建议使用owaspbwa下载地址:OWASPBrokenWebApplicationsProjectdownload
himobrinehacken·2023-10-17 21:02

dvwa靶场File Inclusion全难度教程(附代码解析)

建议使用owaspbwa靶场可以不用搭建dvwa以及其他常用靶场,省去搭建靶场的困扰,但是此靶机靶场较老,并不建议使用owaspbwa下载地址:OWASPBrokenWebApplicationsProjectdownload
himobrinehacken·2023-10-17 21:02

dvwa靶场File Upload全难度教程(附代码分析)

建议使用owaspbwa靶场可以不用搭建dvwa以及其他常用靶场,省去搭建靶场的困扰,但是此靶机靶场较老,并不建议使用owaspbwa下载地址:OWASPBrokenWebApplicationsProjectdownload
himobrinehacken·2023-10-17 21:02

软件测试理论知识总结

16.什么是安全测试?17.什么是兼容性测试?18.什么是易用性测试?19.什么是冒烟
杰森斯坦森1150·2023-10-16 20:45

存储xss 反射xss_安全基础xss解释

msureyou’veheardofXSS(Cross-SiteScripting)ifyou’veeverbeenwithinearshotofasecurityengineer.AspartoftheOWASPTop10
深渊号角·2023-10-16 12:53

供应链安全系列-攻击编译阶段(一)

我们用seasponge、owasp-threat-dragon、PT
安全乐观主义·2023-10-15 20:10

软件测试分类: 你需要知道的不同类型测试

文章目录一.按测试对象进行划分1.界面测试2.可靠性测试3.容错性4.文档测试5.兼容性测试6.易用性测试7.安装卸载的测试8.安全测试9.性能测试10.内存泄漏测试二.按是否查看代码划分1.黑盒测试(
韵秋梧桐·2023-10-15 17:37

史上最全的Web安全相关网址汇总【转帖】

本文出处:http://www.owasp.org/index.php/Phoenix/ToolsLiveCDsMonday,January29,20074:02PM828569600AOC_Labrat-ALPHA
用心倾听·2023-10-15 08:00

渗透测试是什么

渗透测试,也被称为漏洞评估或安全测试,是一种安全测试方法,可以模拟黑客攻击,找出未公开的漏洞和弱点,进一步帮助组织识别和解决安全风险。
中云DDoS CC防护蔡蔡·2023-10-15 04:18

软件进阶之路

大纲图片.png招聘网站要求一、要求点1、熟悉项目持续集成流程,jenkis等常用工具或平台优先2、熟悉测试方案、测试计划的制定,完成测试用例,输出测试报告3、熟悉性能测试、自动化测试、安全测试、接口测试中的一门或多门
TDB·2023-10-15 01:38

Kafka SASL认证授权(六)全方位性能测试

但是因为产品升级,需要对kakfa做安全测试,也就是权限验证。但是增加权限验证,会不会对性能有影响呢?影响大吗?不知道呀!因此,本文就此来做一下对比!
代码讲故事·2023-10-14 15:16

火伞云Web应用防火墙的特点与优势

一、强大的防御能力火伞云Web应用防火墙具备强大的防御能力,能够有效阻止各种网络攻击,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)以及其他OWASPTOP10中列举的常见威胁。
火伞云·2023-10-14 13:26

车载测试简介

既包括功能测试,也包括性能测试,安全测试等。即包含软件测试,也包含硬件测试。
Tester_孙大壮·2023-10-14 12:08

数据库服务安全--Mysql未授权--Hadoop未授权配合RCE--Redis未授权&RCE

首先我们了解一下服务安全,服务安全测试流程第一步就是判断服务开放(1.端口扫描2.组合猜解3.信息来源),如果一个服务都没开启那么我们是无法漏洞利用的;其次是判断服务类型(1.数据库2.文件传输3.远程控制
LaPluie985·2023-10-14 04:06

服务攻防-数据库安全-服务应用的安全问题以及测试流程-Mysql&Hadoop&未授权访问&RCE-漏洞复现

目录一、服务应用的安全问题1、配置不当——未授权访问2、安全机制——特定安全漏洞3、安全机制——弱口令爆破攻击二、服务应用的安全测试思路1、判断服务是否开放2、判断服务类型3、判断利用方式三、Mysql
ranzi.·2023-10-14 04:36

未授权漏洞复现mysql,Redis,Hadoop

常见服务应用的安全测试:1、配置不当-未授权访问2、安全机制-特定安全漏洞3、安全机制-弱口令爆破攻击判断服务开放端口扫描(nmap,mapscan,站长之家)Mysql:3306rdp:3389ssh
大飞先生·2023-10-14 04:01

day55 数据库安全&Redis&Hadoop&Mysql&未授权访问&RCE

Hadoop&Mysql安全3、Mysql-CVE-2012-2122漏洞4、Hadoop-配置不当未授权三重奏&RCE漏洞3、Redis-配置不当未授权三重奏&RCE两漏洞#章节内容:常见服务应用的安全测试
匿名用户0x3c·2023-10-14 04:29

SDL介绍----4、S-SDLC安全开发生命周期

文章目录一、S-SDLC二、S-SDLC流程三、S-SDLC项目流程一、S-SDLCOWASPSecureSoftwareDevelopmentLifecycleProject(S-SDLC)是OWASP
七天啊·2023-10-13 10:30

【应用安全】S-SDLC安全开发生命周期

0x01S-SDLC简介OWASPSecureSoftwareDevelopmentLifecycleProject(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目,并在全球范围内正式发布
an0708·2023-10-13 10:52
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他