OWASP安全测试第20页

2023网安最流行的10大工具（附安装包）

大多数做安全测试的开源工具都被囊括在内。这个工具上手不算太难，因此他是很多入门网络安全的新人的最佳选择。二、BurpSuite它是全球专业人士都喜

编程阿涛·2023-06-06 22:01

如何开展系统安全测试

一、安全测试的前世今生1945年12月，在宾夕法尼亚大学摩尔电气工程学院，占地1500平方英尺，重达30吨的世界上第一台全电子数字计算机ENIAC诞生。

深圳市卓越软件评测·2023-04-21 21:14

使用Maven Plugin的方式查看Dependency-check的报告

官方网站：https://owasp.org/www-project-dependency-check/参考MavenPlugin的页面首页的参考使用方法：在自己项目中的pom.xml中加入对应的dependency

逃离暴风·2023-04-21 20:07

app测试之专项分享【转载】

该文章为转载，如有侵权请联系本人邮箱：[email protected]、安全测试（权限）1）软件权限：其中包括发送信息，拨打电话，链接网络，访问手机信息，联系人信息等等2）数据在本地的存储、传输等3）执行某些操作时导致的输入有效性验证

大白_0420·2023-04-21 10:00

burpsuite 基本原理

二、正向代理（抓包/改包）三、安全测试工具包参考一、BurpSuite是什么？

藤原千花的败北·2023-04-20 21:13

burpsuite写JAVA_burpsuite编写插件--环境安装

Burpsuite编写插件环境搭建在安全测试过程中，我们经常会使用到burpsuite，在burp中允许我们自己编写插件，在Extender-BAppStore中可以选择我们要安装的插件：但是有时候找不到我们需要的插件

廴聿月月鸟·2023-04-20 21:11

php调用sqlmapapi.py,阅读sqlmap源代码，编写burpsuite插件--sqlmapapi

burpsuite插件编写---sqlinjection0x00概要在安全测试过程中，大部分人会使用burpsuite的scanner模块进行测试，可以发现一些浅显的漏洞：比如xss、sqlinjection

純樂·2023-04-20 21:10

阅读sqlmap源代码，编写burpsuite插件--sqlmapapi（二）

burpsuite插件编写---sqlinjection0x00概要在安全测试过程中，大部分人会使用burpsuite的scanner模块进行测试，可以发现一些浅显的漏洞：比如xss、sqlinjection

weixin_33777877·2023-04-20 21:10

2023测试人必备60个实用测试工具推荐，让你成为测试大咖

目录引言一、测试管理工具二、接口测试工具三、性能测试工具四、C/S自动化工具五、白盒测试工具六、代码扫描工具七、持续集成工具八、网络测试工具九、app自动化工具十、web安全测试工具绵薄之力引言无论你是一名资深测试人员还是刚入行的新手

锦都不二·2023-04-20 19:05

【2021软件测试扫盲】测试理论（325页“面试教科书”免费送）

软件测试扫盲按测试技术划分黑盒测试、白盒测试、灰盒测试被测试对象是否运行动态测试、静态测试(文档检查、代码走查)按不同的测试手段划分手工测试(点工)、自动化测试(工具+代码)按测试包含的内容划分功能测试、界面测试、安全测试

程序员阿沐·2023-04-20 17:13

后端如何转义html，js脚本，防止xss攻击

后端可以使用一些框架和工具来帮助转义html和js脚本，例如：OWASPEncoder：一个开源的Java库，提供了多种编码和转义方法，可以用于防止XSS攻击。

不可大东·2023-04-20 15:57

WAF绕过信息收集

WAF绕过-信息收集之反爬虫延时代理池技术思维导图WAF拦截会出现在安全测试的各个层面，掌握各个层面的分析和绕过技术最为关键。

阿凯6666·2023-04-20 14:52

XPath注入：攻击与防御技术

“注入”这种攻击方式被列为了OWASP十大攻击的榜首。然而，本文所要讲述的不是被人熟知的SQL注入攻击。而是相对较为冷门的XPath和XQuery注入攻击。什么是XPath？

myh0st@信安之路·2023-04-20 05:43

同样是做软件测试，为什么别人可以月入三万

必备知识三、Shell脚本四、互联网程序原理五、MySQL数据库六、抓包工具七、接口测试工具八、Web自动化测试Java&Python九、接口与移动端自动化十、敏捷测试&TestOps构建十一、性能测试&安全测试前言对任何职业而言

软件测试老莫·2023-04-20 01:46

安全测试（linux基线排查）看这一篇就够了

前言部分：作为一个安全测试人员，在确保WEB应用程序没有漏洞外，应该也需要关注一下主机环境的安全，因为应用程序部署在主机环境提供运行环境，也应当关注一下主机环境的安全。

暴走的YH·2023-04-19 23:15

软件安全测试

软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。1.用户程序安全的测试要考虑问题包括：①明确区分系统中不同用户权限;②系统中会不会出现用户冲突;③系统会不会因用户的权限的改变造成混乱;④用户登陆密码是否是可见、可复制;⑤是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统);⑥用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入

gengjuan_sunny·2023-04-19 22:34

[ 常用工具篇 ]渗透神器OWASPJoomScan安装使用详解

文章目录博主介绍一、Joomla简介二、OWASPJoomScan三、JoomScan的优势四、JoomScan安装详解1

_PowerShell·2023-04-19 22:15

开源网安入选安全牛「全景图」八项细分领域，引领软件供应链安全发展

开源网安成功入选RASP、开发流程安全管控、DevSecOps、静态安全测试、动态/模糊安全测试、交互式安全测试、软件成分分析、安全意识与培训8项细分领域。

开源网安·2023-04-19 15:46

安全玻璃盒 | 被动型 IAST交互式应用安全测试是实现DevSecOps自动化安全测试阶段的最佳方案

把Sec塞进DevOps不只是技术与工具变更那么简单，更重要的是思维方式和内部流程的转变，推进DevSecOps的关键原则是：别给人添麻烦。《Gartner2017研究报告：DevSecOps应当做好的十件事》和《Gartner2019研究报告：DevSecOps应当做好的十二件事》两篇研究报告中都对成功实施DevSecOps进行了研究。两篇报告一致认为实施DevSecOps的关键挑战和第一要素是

tcsecXD·2023-04-19 14:15

交互式应用安全测试(IAST)学习笔记

交互式应用程序安全测试（IAST）是2012年Gartner公司提出的一种新的应用程序安全测试方案，通过代理和在服务端部署的Agent程序，收集、监控Web应用程序运行时请求数据、函数执行，并与扫描器端进行实时交互

securitypaper·2023-04-19 14:44

中国信通院郭雪解读《交互式应用程序安全测试工具能力要求》标准

引言2021年7月21日，由中国信息通信研究院指导，DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全大会（DSO2021）在北京成功举办。大会以“安全从供应链开始”为主题，寓意安全基础决定上层建筑，在云原生环境下为软件供应链注入覆盖全流程的安全属性，从源头做风险治理。现场逾300位权威学者、安全专家、生态伙伴、技术精英齐聚一堂，近20个议题，直击软件供应链安全复杂场

悬镜安全·2023-04-19 14:13

分享 | 三步了解应用程序安全测试

随着安全威胁形势的不断发展，选择最佳的应用程序安全测试工具已经成为组织投资AppSec的第一个挑战。

DevOps安全社·2023-04-19 14:13

干货分享 | 一文了解交互式应用程序安全测试（IAST）技术

什么是IASTIAST即交互式应用安全测试（InteractiveApplicationSecurityTesting）

开源网安·2023-04-19 14:43

软件产品为做安全测试的作用

随着我们的生活和工作越来越离不开软件产品，用户在使用时越发的注重软件安全问题，而软件企业想要获得用户的信任，一份靠谱的软件安全测试报告就是最好的答卷，那么软件安全测试究竟是什么呢?为什么要做安全测试?

齐鲁物联网测试·2023-04-19 11:11

软件安全（开发模型、需求分析、测试）总结

文章目录一、软件安全开发模型二、软件安全需求分析三、软件安全测试一、软件安全开发模型软件生命周期由定义、开发和维护3个时期组成。

Hardworking666·2023-04-19 02:23

常见的Java审计代码函数关键字_转载：Java代码审计汇总系列(四)——反序列化...

一、概述不安全的反序列化(InsecureDeserializations)在最新的OWASPTop10列表中列于A8。

weixin_39588679·2023-04-19 00:01

Android 应用安全 - 加密算法（AES RSA Hash）

https://www.jianshu.com/p/02c654b5b18eAndroid应用安全-应用安全概览Android应用安全-移动应用安全Android应用安全-Mobile安全漏洞Top10（OWASP

盛世光阴·2023-04-19 00:46

SWQA测试技术周报（第八期）

一、专项测试Web框架下安全漏洞的测试反思作者：王婷英@51Testing软件测试网摘要：随着行业对安全的要求越来越高，同时我们电商是经常在网络上发生交易操作的网站，更是要关注安全测试相关的测试场景的考虑

sw_saii·2023-04-18 09:04

Web应用需要安全测试的一些地方[转载]

SQL注入拼接的SQL字符串改变了设计者原来的意图，执行了如泄露、改变数据等操作，甚至控制数据库服务器，SQLInjection与CommandInjection等攻击包括在内跨站脚本攻击（XSS）跨站脚本(Cross-SiteScripting)是指远程WEB页面的html代码可以插入具有恶意目的的数据，当浏览器下载该页面，嵌入其中的恶意脚本将被解释执行，从而对客户端用户造成伤害。简称XSS没有

霜序五·2023-04-18 09:54

【入狱率99%】非常“刑“又可”拷“~的全栈安全测试渗透测试（burpsuite+appscan实战）【一】

一：黑客视角1.确定测试目标。首先你要确定测试目标及单位，是服务器，ip,网站还是内外网。2.分析风险，获得授权。确定好目标后，提前与目标单位确定测试时间，以免引起不必要的惊慌。以及发生意外情况的应急方案。大多数测试方要获得目标单位的书面委托授权后，才能落地实施渗透测试方案。3.信息收集。渗透测试正式开始之前，需要收集，目标网站，ip或服务器基础信息，如：服务器类型，目录结构，服务器环境，端口，域

百里测试开发·2023-04-18 06:04

非常“刑“的安全测试 owasp checklist 信息收集测试，学完就能获取包吃包住+玫瑰金**

安全测试是保证信息系统安全性的一种方法。OWASP（开放式网络应用程序安全项目）提供了一个全面的检查清单，以帮助测试人员确认应用程序中的漏洞和安全问题。

百里测试开发·2023-04-18 06:34

WhiteSource SAST：下一代应用程序安全

2022年2月15日，WhiteSource宣布进入静态应用安全测试(SAST)市场。这对WhiteSource来说是一项重大的进步，到目前为止，WhiteSource一直专注于开源软件安全。

龙智DevSecOps解决方案·2023-04-17 16:58

软件安全测试有哪些测试手段

软件安全测试有哪些测试手段现如今互联网高度发达，智能化的软件成为商业决策、推广等不可缺少的利器，很多软件涉及了客户商业上重要的信息资料，因此企业都很关心软件的安全性。

齐鲁物联网测试·2023-04-17 13:30

不会写代码也能做自动化？推荐一款自动化测试神器

在软件测试这条道路上，大部分的职业技能发展道路都会是纯业务手工测试→自动化测试→性能测试→安全测试/测试开发。

荔枝味奶糖·2023-04-17 04:34

android:allowBackup="false" 导致无法打包解决方案

近日测试的小美眉开始对Apk做安全测试，测出有个安全隐患问题，问题如下图image.png对于allowBackup属性的解释如下android:allowBackup是否允许应用参与备份和恢复基础架构

差点长成一枚帅哥·2023-04-17 04:41

37岁软件测试员被裁，120天没找到工作，无奈去小公司，结果懵了

必备知识二、Shell脚本三、互联网程序原理四、Mysql数据库五、抓包工具六、接口测试工具七、Web自动化测试Java&Pyhton八、接口自动化与手机自动化九、敏捷测试&TestOps构建十、性能测试&安全测试最

程序员二黑·2023-04-16 15:19

物联网安全测试

物联网安全测试尽管物联网（IoT）重新定义了我们的生活并带来了很多好处，但它的攻击面很大，并且在安全之前是不安全的。如果没有适当的保护，物联网设备很容易成为网络犯罪分子和黑客的目标。

琉底骅网络·2023-04-16 13:41

如何测试物联网安全性

物联网安全测试尽管物联网（IoT）重新定义了我们的生活并带来了很多好处，但它的攻击面很大，并且在安全之前是不安全的。如果没有适当的保护，物联网设备很容易成为网络犯罪分子和黑客的目标。

琉底骅网络·2023-04-16 13:11

借助ChatGPT回答推荐最常用的自动化测试、性能、安全测试工具

基于测试类型的分类：例如功能测试、性能测试、安全测试、兼容性测试、可靠性测试等。基于测试对象的分类：例如API测试、UI测试、数据库测试、

Vincent_Han·2023-04-15 22:43

form标签的action之前加密_口令爆破之突破前端JS加密

0x00前言近期安全测试时发现一个系统前台使用了SSO，但是在比较隐蔽API中发现了后台的登录接口，该接口未使用SSO，同时没有图形验证码等校验，通过分析最终爆破进入后台。

weixin_39782573·2023-04-15 19:07

Burpsuite插件开发之RSA加解密

这里做探讨的目的只是方便安全测试人员的个人学习，或大家渗透测试使用。详细的代码见github代码，在文档中数据首先是以rsa方式加密des的key得到encryptKey

枫灵儿·2023-04-15 19:34

字节跳动高级测试工程师面试问题—亲测

1.测试微信的朋友圈功能功能测试（文字、视频、文字长度、图片大小、可见、位置、提醒、浏览、长文字处理，评论）界面易用性测试中断测试网络测试、弱网测试兼容性测试安全测试性能测试（服务器、客户端、压力稳定性测试

mangui·2023-04-15 16:58

【墨者学院】：WordPress插件漏洞分析溯源

0x00.题目描述：背景介绍某公司内部技术知识分享系统使用了某些插件，为了保证该系统的安全，现要求安全工程师“墨者”对该系统进行安全测试。

阳光灿烂的日子阿·2023-04-15 10:59

Web安全课程目录

4、常见的加密方式5、数据库操作6、常见的协议（Http、TCP-IP）二、信息搜集1、收集域名信息2、收集子域名信息3、收集端口信息4、查找真实IP5、指纹识别（cms、服务器类型、脚本语言等）三、OWASP_TOP10

Beyond My·2023-04-15 04:44

初识 Java Agent - 实现简单AOP操作

引言相信大家对IAST（InteractiveApplicationSecurityTesting，交互式应用程序安全测试）和RASP（Runtimeapplicationself-protection

_07·2023-04-15 04:03

探索云原生安全测试

由于云平台安全缺陷导致频繁发生的重大网络安全事故，使得云平台下的安全测试显得尤为重要。网络安全事故相关案例：2017年，网络安全导致美国征信公司Equifax约1

Thoughtworks思特沃克中国·2023-04-14 23:27

软件测试培训

软件测试培训软件测试培训是一门针对软件测试人才培养的技术，培训内容涉及到：软件测试基础、自动化测试、性能测试、安全测试、接口测试、云计算测试等。

多测师111·2023-04-14 19:33

最跌宕也最精彩， Poly Network开启加密世界新征程

与此同时，安全工作也要成为常态，比如定期进行安全测试、演练，做到未雨绸缪。作者：碳5编辑：黑土出品：碳链价值（ID：ccvalue）从加密行业诞生至今，2021可能算是最跌宕起伏但也是最精彩的一年。

碳链价值·2023-04-14 18:49

SQL注入攻击及防御详解

在owasp年度top10安全问题中，注入高居榜首。

明_96af·2023-04-14 17:52

Web渗透测试3个要点（信息收集→漏洞发现→漏洞利用）

一个偶然的机会，有幸邀请到了一家国外专门做web安全的公司来对自己的web系统做安全测试。4周下来，我与几位安全专家多次沟通，完成了对自己系统的威胁建模，渗透测试，白盒测试，一共发现了28个漏洞。

爱码小士·2023-04-14 14:28

推荐频道

OWASP安全测试