OWASP安全测试第17页

安全攻击 --- XSS攻击

XSS跨站脚本攻击（1）简介OWASPTOP10之一，XSS被称为跨站脚本攻击（Cross-Site-Scripting）主要基于JavaScript（JS）完成攻击行为XSS通过精心构造JS代码注入到网页中

雨天_·2023-07-26 06:37

国产化测试工具的特色有哪些？

无论是功能测试、性能测试还是安全测试，国产化测试工具都能灵活应对，提供可靠的测试

掌动智能·2023-07-25 21:52

测试人员应该具备哪些能力

等会做自动化测试加分5、了解性能压力测试工具，如jmeter,loadrunner之类的，会做性能测试加分6、会常用数据库，如sql，redis，oracle之类的7、了解linux指令8、会自动化接口测试加分9、了解安全测试

软件测试工程师·2023-07-25 16:08

代码扫描工具fortify

代码扫描工具fortify概念：Fortify是一个静态的、白盒的软件源代码安全测试工具。

青纹刀狼·2023-07-24 19:33

安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞

文章目录自写模版引用Smarty模版引用代码RCE安全测试TP框架-开发-配置架构&路由&MVC模型TP框架-安全-不安全写法&版本过滤绕过自写模版引用1、页面显示样式编排$page_title";$template

今天是几号·2023-07-24 19:12

WEB安全测试通常要考虑的测试点

1、问题：没有被验证的输入测试方法：数据类型（字符串，整型，实数，等）允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值（枚举型）特定的模式（正则表达式）2、问题：有问题的访问控制测试方法：主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址例：从一个页面链到另一个页面的间隙可以看到URL地址直接输入

程序员曦曦·2023-07-24 17:00

请问支付功能如何测试

目录01测试思维02支付功能的测试点一：支付的分类：二：功能测试三：接口测试四：安全测试五：测试点01测试思维要分析测试点之前，我们先来梳理一下测试思维。

软件测试凡哥·2023-07-23 13:45

Web漏洞扫描工具 - 安全工具篇

Web漏洞常用扫描器有：1、Owasp-zap；2、AWVS；3、Appscan；4、Nikto；5、BurpsuiteOwasp-zap漏洞扫描器OWASP-ZAP是OWAS

DreamsonMa·2023-07-21 16:11

2018“安恒杯”WEB安全测试省赛WP

不一样的上传系统与预选赛题目一样，将大马php_mofSHELL.pHp.jpg压缩成zip上传，即可通过大马获取flag。简单文件上传要求上传一个图片，并且大小存在限制。尝试后发现后台是通过文件头来判断文件类型的，因此可以上传一个图片马：0x01构造一个一句话webshell.php，内容如下：0x02准备一张正常图片realpng.png，使用命令catrealpng.pngwebshell.

Anemone95·2023-07-21 03:03

软件渗透测试真的很重要吗?渗透测试有哪些测试流程?

这种安全测试方法能够帮助开发人员和系统管理员发现并修复潜在的安全漏洞，以确保软件系统的安全性和完整性。软件渗透测试是一项高度技术性的任务，需要测试人员具备广泛的安全知识和技能。

卓码测评·2023-07-21 03:22

移动App安全测试需要注意的问题，App测试报告收费标准

近年来，移动App的使用量呈现出井喷式的增长，人们几乎可以通过App满足各种各样的需求，包括社交娱乐、购物支付、生活出行等等。然而，伴随着App的快速发展，各种安全问题也接踵而至，如信息泄露、用户隐私被侵犯、恶意代码攻击等。为了保障移动App的安全，移动App安全检测显得尤为重要。下面介绍一下移动App安全检测的几个常见问题。1.移动App的权限管理问题很多移动App在设计和开发过程中对权限的管理

卓码测评·2023-07-21 03:22

移动APP安全测试

1移动APP安全风险分析1.1安全威胁分析安全威胁从三个不同环节进行划分，主要分为客户端威胁、数据传输端威胁和服务端的威胁。1.2面临的主要风险1.3Android测试思维导图1.4反编译工具有两种反编译方式，dex2jar和apktool，两个工具反编译的效果是不一样的，dex2jar反编译出java源代码，apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出

weixin_41508948·2023-07-21 03:21

移动APP安全测试要点

移动APP安全测试要点上次《运营商渗透测试与挑战》中提到，随着运营商新技术新业务的发展，运营商集团层面对安全的要求有所变化，渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战

ru_li·2023-07-21 03:49

Android安全测试神器大全

在线分析1.AndroTotal2.Tracedroid3.VisualThreat4.MobileMalwareSandbox5.Appknox–非免费6.IBMSecurityAppScanMobileAnalyzer–非免费7.NVISOApkScan8.AVCUnDroid9.habo-非免费10.Virustotal-max128MB11.FraunhoferApp-ray–非免费12.

哆啦安全·2023-07-21 03:49

移动App安全检测的重要性，好用的App安全测试工具分享

一、移动App安全检测的重要性在移动互联网时代，移动App成为人们生活不可或缺的一部分，人们使用App处理各种个人和敏感信息，因此保护用户的隐私和数据安全至关重要。而移动App安全检测是保障用户隐私和数据安全的重要环节。通过安全检测，可以发现和修复应用程序中存在的漏洞和安全隐患，防止黑客入侵、数据泄露和恶意代码的攻击。同时，安全检测也可以提升用户对App的信任度，增加App的用户粘性。二、移动Ap

卓码测评·2023-07-21 03:17

APP android 测试用例手册

原文链接：https://www.cnblogs.com/backlion/p/15701898.htmlAPPandroid测试用例手册一、客户端程序安全测试1.检查apk的信息java-jarGetApkInfo.jartfkj.apk2

明月清风~~·2023-07-20 20:29

API漏洞检测研究

xrayAPI漏洞检测_青霄的博客-CSDN博客Swaggerui接口自动化批量漏洞测试_swgeer-ui漏洞_山山而川'的博客-CSDN博客什么是API安全测试以及它是如何工作的？

青霄·2023-07-20 18:46

秋招小技巧，你学会了吗？

基础知识准备应届的毕业生大多数没有太多的实际项目经验，在理论知识上，就要做更多的准备，可以从如下一些方面进行准备：1、软件测试基础知识了解软件测试的基本概念、目标和原则，掌握测试的不同类型（如功能测试、性能测试、安全测试等

程序员馨馨·2023-07-20 18:09

如何从0到1做一次完整的安全测试

近期针对公司项目做了一次完整的安全测试，扫描出来了不少漏洞，价值还挺大的。回顾整个流程，并没有特别复杂的点，小林星球这里程序员还挺多，想着分享下我的实战感悟，希望对做项目的技术人员有所启发。

程序员馨馨·2023-07-20 18:38

mitmproxy + python 实现游戏协议测试

一、游戏协议安全测试内容参考这篇文章讲的很清楚【游戏协议安全测试】分享、探讨和总结·TesterHomehttps://testerhome.com/topics/29053二、实现原理想直接使用的同学可以跳到第三部分

TesterHome官方·2023-07-20 17:15

2021-07-30 SQL Day12

image.pngimage.pngCREATEVIEWpet_showASSELECT*FROMpet;SELECTps.name,ps.speciesFROMpet_showASpsWHEREps.sex

devilinside·2023-07-20 16:01

常见的漏洞原理及防御方法

暴力破解原理：危害：防御：二、RCE(远程代码执行)原理：危害：防御：系统命令执行函数三、SQL注入原理：危害：常用函数：防御：1.过滤输入内容，校验字符串2、参数化查询（绑定变量，使用预编译查询）3、安全测试

故事讲予风听·2023-07-20 12:49

XSS简介

OWASPTOP10OWASP(开放式Web应用程序安全项目)的工具，文档，论坛额全球各地分会都是开放的，对所有致力于改进应用程序安全的人士开放，最具权威的就是10项目最严重的Web应用程序安全风险列表

By7e_f@lc0n·2023-07-20 08:14

代码测试工具Fortify介绍及实操演示（下）

Fortify是在代码审计中比较常用的一款静态代码分析工具，在很多行业尤其是金融行业中的普及度非常高，也是软件开发组织、专业的评测机构在创建软件测试体系的过程中大概率会购买的一款安全测试工具。

daopuyun·2023-07-19 23:14

Day7——Web安全基础下

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录回顾前言一、owasptop10漏洞（了解）（四年一更）1.访问控制崩溃2.敏感数据暴露3.sql注入4.不安全的设计5.安全配置不当

hk-hkl·2023-07-19 12:36

【116个】网络安全测试相关面试真题

1、Burpsuite常用的功能是什么？2、reverse_tcp和bind_tcp的区别？3、拿到一个待检测的站或给你一个网站，你觉得应该先做什么？4、你在渗透测试过程中是如何敏感信息收集的？5、你平时去哪些网站进行学习、挖漏洞提交到哪些平台？6、判断出网站的CMS对渗透有什么意义？7、一个成熟并且相对安全的CMS，渗透时扫目录的意义？8、常见的网站服务器容器（中间件）9、如何手工快速判断目标站

软件测试凡哥·2023-07-19 10:00

守护数智未来，开源网安受邀参加2023OWASP北京论坛

2023年7月14日，OWASP中国与网安加社区联合举办的“2023OWASP中国北京安全技术论坛”在北京圆满召开，开源网安受邀参加本次论坛并分享“软件供应链安全治理实践”。

开源网安·2023-07-19 07:28

【无标题】

#代理拦截工具mitmproxy-p8800#配置代理owasp-zap(攻击代理ZAP)是一款查找网页应用程序漏洞的综合类渗透测试工具包包含了拦截代理、自动代理、被动处理、暴力破解、端口扫描以及蜘蛛搜索等功能

技术~子云·2023-07-19 01:03

将DAST集成到CI/CD管道中的优势和实施步骤

由于漏洞的出现速度比以往任何时候都要快，将动态应用程序安全测试（DAST）集成到持续集成/持续部署（CI/CD）管道中成为改变游戏规则的因素，帮助您在早期阶段即考虑安全因素，尽早发现和解决安全漏洞，而不是等到它们严重影响用户后再采取措施

这我可不懂·2023-07-18 21:31

HashMap的线程不安全（jdk8也会造成死循环，原因暂未查明）

HashMap线程不安全测试代码代码中启动了两个线程共对map进行一共100000存

东方明珠脚下的流浪猫·2023-07-18 15:08

车载测试：车联网功能组件及安全测试策略

目录一、车联网功能组件车域网IVITBOXECUTSPAPP通信及密码特殊指标车端特殊指标APP特殊指标测试用例一、车联网功能组件车联网是以汽车智能化、网联化为基础，广泛应用新一代通信技术、人工智能技术构建起的新型基础设施。在整体架构上，车联网包括云端应用、通信设施、智能网联车等“云-管-端”三部分。“云”是云端应用，一般是以TSP为主的云端服务，提供了车辆管理、控制、娱乐等功能；“管”是通信设施

小米测试开发·2023-07-18 11:31

java安全问题（开发过程中一定要注意！十大漏洞）

序号OWASP2007年十大安全漏洞概述1跨站脚本漏洞目标网站对用户提交的变量代码未进行有效的过滤或转换，允许攻击者插入恶意WEB代码，劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略

风者-martic·2023-07-18 06:12

安全测试基础学习笔记

一、命令注入1、命令注入攻击：由于应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。测试人员可以通过接口发包工具将构造的特殊命令注入数据作为参数输入，经验证来判断是否存在命令注入漏洞。二、接口未授权访问1、接口未授权访问：接口缺少认证校验，不需要知道访问凭证（如账号口令等）的

菜鸡小黄·2023-07-16 06:24

攻防世界XCTF-WEB入门全通关

其主要考察下面几点：基本的PHP、Python、JS语法基本的代理BurpSuite使用基本的HTTP请求交互过程基本的安全知识（Owasptop10)1.View_source题目描述：X老师让小宁同学查看一个网页的源代码

xzajyjs·2023-07-16 03:01

软件安全测试流程与方法分享（下）

安全测试是在IT软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。

daopuyun·2023-07-15 23:04

移动互联网应用程序（app）个人信息安全测试能力验证-流程介绍

ILONGYU产品简介为规范检验检测市场，提升检验检测机构技术能力，根据《检验检测机构资质认定管理办法》《实验室能力验证实施办法》等有关规定，市场监管总局决定在社会重点关注的部分检验检测领域，组织开展2020年国家级检验检测机构能力验证工作，并于2020年3月发布《市场监管总局办公厅关于开展2020年国家级检验检测机构能力验证工作的通知》(以下简称《通知》)。根据《通知》规定， “CNC

longyurenzheng·2023-07-15 15:34

dvwa靶场Brute Force（暴力破解）全难度教程（附代码分析）

建议使用owaspbwa靶场可以不用搭建dvwa以及其他常用靶场，省去搭建靶场的困扰，但是此靶机靶场较老，并不建议使用owaspbwa下载地址：OWASPBrokenWebApplicationsProjectdownload

himobrinehacken·2023-07-15 05:09

探索socks5代理协议：高效、安全的网络通信方式

提供使用socks5代理进行网络安全测试和爬虫开发的实际指导。SK5代理技术的研究与实践：介绍SK5代理技术的背景和发展历程

京新云S5·2023-07-14 17:13

Web业务安全测试方法（3）—组件暴露

组件暴露组件暴露漏洞一般是用于收集后台信息，方便进一步攻击，这里简单介绍下，没什么深奥的东西。什么时候最容易使得后台组件暴露出来呢？输入非正常数据。举例来说：年龄的输入一般是大于0，即age>0；测试时,可以输入age<=0，或者输入特殊符号@,#等，或者输入字符串，输入中文等等，会使得后台组件的版本暴露出来。解决方法：1、捕获异常或者对输入进行校验。

Magicknight·2023-07-14 15:29

全网最全，Web测试点详细整理（测试场景举例+常见问题分析）

自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结（尾部小惊喜）前言Web测试检查表功能测试、接口测试、性能测试、安全测试

百度测试开发·2023-07-14 14:42

pikachu靶场之XSS学习笔记

XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASPTOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。

Mbys_Lettuce·2023-07-14 12:30

安全测试方法介绍（上）静态源代码审查

软件安全测试主要有以下几个方面：确定软件的安全特性实现是否与预期设计一致的过程；有关验证软件安全等级和识别潜在安全缺陷的过程；查找软件自身程序设计中存在的安全隐患，并检查；应用程序对非法侵入的防范能力。

daopuyun·2023-07-14 08:35

安全测试方法介绍（下）渗透测试

安全主要测试方法主要有：静态源代码审查，这个在编码阶段就可以进行，这个阶段如果出现问题，修复起来成本也比较低。程序发布之后可以进行渗透测试。前面的文章中我们为大家介绍了静态源代码审查的方法和策略，接下来本文继续为大家讲解渗透测试。【渗透测试】渗透测试是通过模拟恶意攻击者攻击，来评估系统安全的一种评估方法，从攻击的角度测试软件系统是否安全。使用自动化工具或者人工的方法模拟攻击者的输入，找出运行时刻目

daopuyun·2023-07-14 08:35

C/C++编程安全标准GJB-8114解读——声明定义类

软件检测实验室在建立软件测试体系或申请cnas/cma相关资质时，需要依据相关标准，使用有效的方法开展检验检测活动，GJB-8114是一部嵌入式软件安全测试相关的国家标准，本系列文章我们就针对GJB-8114

daopuyun·2023-07-14 08:31

给测试开发工程师的5条建议——你一定要知道

目录前言质量心态获取其他测试领域的知识探索性测试数据测试可视化测试可访问性测试安全测试混沌测试获得正确的帮助自动化不仅仅是执行测试脚本分享也是学习的一种途径最后前言近些年可以看出测试开发工程师是热度比较高的测试职位

小米测试开发·2023-07-14 05:59

2023年测试岗，测试开发VS性能测试？你选什么进阶...

如果想要在测试领域好好发展，提升自己的测试技术是必不可少的，但是，选对方向更为重要，功能测试、自动化测试、测试开发、性能测试、安全测试、

百里测试开发·2023-07-14 03:35

自动化漏洞挖掘方式

Xray安装2.3、Xray使用2.4、爬虫模式（主动扫描）2.5、被动扫描2.6、BurpSuite联动Xray2.7、Rad联动Xray一、Goby安装使用1.1、goby简介goby是一款新的网络安全测试工具

月亮今天也很亮·2023-07-14 01:39

OWASP Dependency-Check简单教程,及检查mybatis和压制bug的过程

教程:https://www.jianshu.com/p/f1a2f5357d12资源下载:https://download.csdn.net/download/tiantangpw/88041075命令行参数说明https://jeremylong.github.io/DependencyCheck/dependency-check-cli/arguments.html压制bug文件说明http

著名特乐·2023-07-14 01:23

web信息收集----网站指纹识别

Web指纹识别可以帮助安全研究人员在安全测试中快速了解目标网站的基本信息，有助于搜索其相关

七天啊·2023-07-14 01:24

简析IAST—Agent篇 | 信息安全

一、IAST简单介绍IAST(InteractiveApplicationSecurityTesting)交互式应用程序安全测试，通过服务端部署Agent探针，流量代理/VPN或主机系统软件等方式，监控

360技术·2023-06-23 19:44

推荐频道

OWASP安全测试