OWASP安全测试第30页

（4）web安全|渗透测试|网络安全web网站源码及相关分析

众所周知：web源码在安全测试中是非常重要的信息来源，可以用来代码审计漏洞也可以用来做信息突破口，其中WEB源码有很多技术需要简明分析。

黑色地带(崛起)·2022-02-19 08:04

网络安全之小程序抓包渗透测试流程

两者结合起来就可以边调试边进行测试，更方便于安全测试。搜索目标小程序目标搜索不能仅仅局限于主体单位，支撑单位、供应商、全资子公司等都可能是入口点，所以小程序当然也不能放过它们。

kali_Ma·2022-02-19 08:32

渗透测试靶场合集

链接地址：http://www.dvwa.co.uk2mutillidae是一个免费，开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian“Ironge

你说的独品·2022-02-17 22:04

常见端口以及攻击方式

常见端口：ftp:默认端口：20（数据端口）；21（控制端口）；69（tftp小型文件传输协议）攻击方式：爆破：ftp的爆破工具有很多，这里我推荐owasp的Bruter以及msf中ftp爆破模块；nfs

不吃鱼的猫_de06·2022-02-16 21:54

Python测试转岗网络安全测试，挑战年薪30W+

有许多人问我安全测试前景怎么样？目前，网络安全市场可大致分为17大安全领域、59个细分领域。不同领域大类核心技术相距甚远，因此绝大多数企业都选择专注于几个细分市场上。

软件测试君·2022-02-16 17:31

Burpsuite安全测试测试指导

点击链接加入QQ群229390571（免费公开课、视频应有尽有）：https://jq.qq.com/?_wv=1027&k=5rbudQa1Burpsuite简介Burpsuite是一款安全领域非常重要的Web扫描工具（或者说是平台），它用于攻击Web应用程序。在BurpSuite上集成了各种扫描工具插件，各个集成插件可以组合使用，也可以单独使用。2Burpsuite安装Burpsuite有两个

测试帮日记·2022-02-16 09:14

5大常见的Web安全漏洞及测试方法归纳！

一、安全测试6项基本原则：认证:对认证的用户的请求返回访问控制：对未认证的用户的权限控制和数据保护完整性：用户必须准确的收到服务器发送的信息机密性：信息必须准确的传递给预期的用户可靠性：失败的频率是多少

爱吃草的猫_4551·2022-02-16 05:12

移动app安全测试 - 网络传输安全

前言APP在运行的时候，有海量的文字、图片、视频等内容传输，全部存在本地既不现实、也不灵活。因此会大量的使用网络连接来实现APP与云端服务器的数据通信，所以网络数据传输的安全性，往往成为移动app安全最关键的一个环节。如果没有对这方面进行安全防护，黑灰产业就可以通过安全薄弱的环节，直接制作出协议工具，脱离app本身进行业务操作。所以从整个过程来看，可以从通信安全和数据安全两个方面来进行安全性研究和

h080294·2022-02-16 02:06

移动app安全测试 - 客户端篇（一）反编译保护

h080294·2022-02-16 01:37

网络攻防第四周作业

（1）WEB扫描工具Golismero这是一款开源的Web扫描器，自带一些安全测试工具，还可导入一些扫描工具的结果，如OpenVAS，Wfuzz，SQ

weixin_33755554·2022-02-15 16:26

DOD的思考

1、DOD的来源:从用户需求进入团队到对外交付，中间会产生一系列的产出物，比如:代码、用户使用手册、产品功能清单、单元测试、功能测试、集成测试、冒烟测试、回归测试、可靠性测试、性能测试、安全测试、大容量测试

玉露君·2022-02-14 19:10

用phpStudy搭建DVWA漏洞测试环境-详细过程

目录结构1.下载、安装PhpStudy2.下载、存放DVWA3.配置DVWA环境4.访问DVWA进行登录DVWA简介前面几篇文章对渗透测试和安全测试的一些概念和执行流程有个大致了解，为了对安全测试更深入的理解

Fighting_001·2022-02-14 19:31

Electron应用安全测试方法

Electron应用的代码通常在resources/目录下的app/目录，可能被打包成app.asar文件（或者命名为core.asar）。在没有对app.asar包进行额外保护的情况下，可直接解压app.asar文件到app/目录。解压缩asar文件npminstall-gasar解压：asarextractasar文件解压文件夹压缩：asarpack文件夹asar文件Electron会优先加载

Ovie·2022-02-14 15:46

2018年度记事

互动变少的1年，自己做决断半年，自学1年16，17年收集的知识框架（ppt，活动策划&主持，沟通，测试管理）18年收集的知识框架（linux系统，python编程，计算机网络，机器学习&算法测试，流程规范，安全测试

绿豆粥lv·2022-02-13 20:01

OWASP Broken Web Apps渗透测试环境搭建和安装教程

本文目录OWASP概述导入VMwareWorksation登录和访问OWASP概述OWASPBrokenWebApp项目生成一个虚拟机，能够运行各种已知漏洞的应用程序官网下载地址:https://sourceforge.net

huwei0814·2022-02-13 18:36

万物皆可 API

编程学习资料点击免费领取起源关于这个项目为什么诞生，原Repo有这么一段：以近期Log4j的RCE举例，在内网的安全测试中，由于网络环境限制导致没有DNSLog平台可用，这时候做Log4j的漏洞验证就考虑直接查看

大飞攻城狮·2022-02-13 10:34

移动app安全测试 - 客户端篇（三）签名校验

前言：二次打包作为移动app安全风险的一部分，通常由逆向破解者进行破解，然后插入广告、植入恶意代码、修改内购逻辑逃避支付等等。这些恶意行为严重危害移动产品和用户利益，同时也影响企业口碑。签名校验：防止二次打包最普遍的方式之一，便是进行签名校验。校验又分为很多层次，有针对package信息，有的针对文件hash，有的甚至针对代码段等等。这里只列举最简单的几种方式供参考。1、普通校验系统将应用的签名信

h080294·2022-02-12 05:43

2021 年软件安全报告：代码开源，福“祸”相依？

近期，一份来自安全测试公司的报告显示，开源领域的应用安全情况整体有所好转，但依然存在问题，包括开源代码的漏洞被利用，以及第三方代码库本身的风险。

·2022-02-11 16:41

Vulnhub靶机：HACKNOS：OS-HACKNOS-2.1

登录破解用户密码Flag1提权-Flag2参考介绍系列：hackNos（此系列共7台）发布日期：2020年1月18日难度：初级-中级Flag:2个，一个普通用户的，一个根用户的学习：wordpress安全测试本地包含漏洞利用

lainwith·2022-02-11 13:54

软件测试八款优秀的API安全测试工具，会用三款工作效率能提升50%

第一款PostmanPostman完全具备作为API测试工具的资格，但其更为人所知的名号却是打造安全API的全套协作平台。数百万Windows、Linux和iOS开发人员使用Postman不是没有原因的。Postman为开发人员提供了一整套API工具供设计新API使用，还为企业提供了安全的存储库，让企业可以放心存储逐渐累积的代码。使用安全存储库可以确保未来的API从一开始就保持严格的安全和组织标准

不喝枸杞的程序员·2022-02-11 09:51

软件测试扫盲【教科书级】

按测试技术划分黑盒测试、白盒测试、灰盒测试被测试对象是否运行动态测试、静态测试(文档检查、代码走查)按不同的测试手段划分手工测试(点工)、自动化测试(工具+代码)按测试包含的内容划分功能测试、界面测试、安全测试

程序员阿沐·2022-02-11 08:33

drozer-Android安全测试基本使用教程（Mac）

简介drozer的基本功能就是通过分析AndroidManifest.xml，看四大组件中有没有可export的本教程第一大节讲安装，第二大节讲使用drozer连接手机，第三大节讲通过drozer检测app安全性。一、安装1.1安装环境1）macOS10.15.32）Python2.7.163）pip20.0.24）javaversion"1.8.0_241"5）Androidstudio3.5.

青峰星宇·2022-02-10 22:37

web appscan安全测试问题类型

安全测试appscan学习问题类型分类1.发现不存在的域的链接比如：该域名不存在2.Content-Security-Policy”头缺失将服务器配置为使用安全策略的“Content-Security-Policy

还珠妹妹·2022-02-10 21:13

97

写了卡片，送了花，做完安全测试，和难得回来的大师姐聊了下天，就已经是可以吃晚饭的时间了。于是，

七月生吾·2022-02-10 14:40

从交换机安全配置，看常见局域网攻击

前言构建零信任网络，自然离不开网络准入(NAC)，这就涉及到交换机的一些安全测试，于是有了此文《从交换机安全配置看常见局域网攻击》。

kali_Ma·2022-02-10 09:14

mitmproxy+python 实现游戏协议测试

一、游戏协议安全测试内容参考https://testerhome.com/topics...，这篇文章讲的很清楚。二、实现原理想直接使用的同学可以跳到第三部分。

·2022-02-09 10:50

web安全测试用例(网络资源笔记)

信息泄漏robots.txt泄漏敏感信息**漏洞描述：**搜索引擎可以通过robots文件可以获知哪些页面可以爬取，哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范，其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯，如果robots.txt文件编辑的太过详细，反而会泄露网站的敏感目录或者文件，比如网站后台路径，从而得知其使用的系统类型，从而有针对性地进行利用。测试

今宵孤枕冷难眠·2022-02-08 12:15

【渗透测试】VulnHub-IMF: 1

1VulnHub-IMF:1渗透思路小知识点一、php中使用url传递数组的方法二、sqlmap用到的参数理解三、文件上传提权四、缓冲区溢出常用工具一、weevely：(Linux菜刀)phpwebshell的安全测试工具二

吃_早餐·2022-02-08 11:05

视频教程-通过Jmeter对Dubbo接口进行接口及性能测试-软件测试

Dubbo接口进行接口及性能测试曾供职于多家互联网公司（比如蚂蚁金服）及世界500强外企（如officedepot），多年自动化、安全、性能测试以及测试管理工作经验，曾担任开发工程师、自动化测试工程师、安全测试工程师和测试主管等职位

weixin_30605681·2022-02-07 07:08

测试杂谈测试的思考点是什么？面对一个程序界面几个输入框，几个按钮，然后测试工作应该如何开展或拓展呢？作为一个已有多年的测试经验第一测试着手点应该是什么思考精准化测试何为测试技术？如何针对测试

2.1业务测试2.2自动化测试，UI或自动化2.3专项测试2.4性能测试2.5安全测试2.6测试开发2.7白盒测试2.8测试管理四、抢购软件业务实现逻辑描述1、开发对程序实现逻辑描述2、测试疑问？

Benjamincsdn·2022-02-07 07:33

Windows server 2003 R2 虚拟机的安装

这里提供2种安装方式，方法一只需直接打开（推荐），方法二需要手动配置网盘地址：https://pan.baidu.com/s/1-JYbABvsQ-UwoZHVRUtXWw密码：ie5p方法一：安全测试

龙少_玩测试·2022-02-06 14:42

服务端接口开发注意事项

4、对接口做并发安全测试，保证数据修改安全。5、接口的限流6、接口的降级8、接口的全链路日志，提供链路唯一标识。9、接口关键业

qingteng666·2022-02-06 13:28

安全性测试报告

测试用例执行结果3:产品安全性质量评估产品安全性总体质量评估管理通道安全操作系统安全协议与接口防攻击web安全产品开发发布安装安全数据库安全敏感数据保护系统管理和维护安全安全资料监听接口及防止非法监听产品通用安全测试端口扫描漏洞扫描协议健壮性

阿萨的碎碎念·2022-02-06 05:05

Java并发编程（三） - 实战：线程同步的实现

packagecom.example.weishj.mytester.concurrency.sync;/***同步安全测试**在无任何同步措施时，并发会导致错误的结果*/publicclassSyncTest1implementsRunnable

未子涵·2022-02-05 19:21

越权漏洞测试之网站渗透测试服务

业务部门和安全部门在实践安全测试时开展合作，早期测试人员和安全同学通过手工执行安全测试用例来发现问题，随后慢慢地也开始使用一些安全工具，通过自动化的方式来提高发现问题的效率。

websinesafe·2022-02-05 15:41

python3测试工具开发快速入门教程13自动化测试简介

测试有不同的类型，如功能测试，性能测试，安全测试等，配置测试，压力测试，业务周期测试。数据和数据库完整性的测试；用户界面测试，容量测试，故障转移和恢复测试，安装测试等

python测试开发·2022-02-05 12:45

009--解读移动app和web app测试侧重点的区别(转载)

3.用户界面测试：界面是否协调美观，风格是否一致，页面能否按比例缩放4.兼容性测试：浏览器（不同厂商不同版本），分辨率5.安全测试：

沉浮在心·2022-02-03 04:18

360企业安全测试工程师笔试题

图片发自App1.对于windows系统，通电自检_进入bios_系统引导计算机读取硬盘上的MBR,通过MBR的信息找到引导分区_加载内核，读入注册表，加载驱动引导程序_启动设置项_引导成功，进入操作系统对于Linux系统，通电自检_进入bios_系统引导Lilo后加载内核_执行内核_init进程_rc命令脚本程序_激活或者禁止服务项目2.windows系统的版本大致有:95982000NTXP2

小梨喵·2022-02-02 22:24

2.5万字，一文读懂企业DevSecOps全实践 | IDCF

本文译自Securosis网站AdrianLane的系列博客文章，内容包括：基本原则安全人员如何与开发协同工作安全测试集成构建安全工具链安全计划安全人员在DevOps中的作用一、基本原则1.1导语DevOps

·2022-01-21 09:11

【保姆级Python教学】万物皆可 API

起源关于这个项目为什么诞生，原Repo有这么一段：“以近期Log4j的RCE举例，在内网的安全测试中，由于网络环境限制导致没有DNSLog平台可用，这时候做Log4j的漏洞验证就考虑直接查看LDAP服务是否有连接进来

·2022-01-12 16:51

2021 软件测试工具大全

2021软件测试工具大全1、UI自动化2、接口自动化3、单元测试4、性能测试5、安全测试6、其他测试工具7、一些优秀的测试管理平台8、总结8.1、关于UI自动化UI自动化测试是模拟用户和产品交互的一种测试模式

·2022-01-05 17:54

腾讯牵头成立CSA云原生安全工作组，助力标准制定和产业落地

工作组任命腾讯云原生安全产品总监谢奕智与绿盟科技星云实验室负责人刘文懋担任联席组长，同时宣布启动云原生安全测试标准项目组，测试标准项目

·2021-12-27 14:55

软件测试基础知识的学习

一、测试行业：1、测试的重要性（所有的产品或者服务上线都需要进行测试）2、测试工程师成长路线管理方向：测试组长\测试经理\测试总监技术方向：测试工程师、测试开发、测试架构师、性能测试、安全测试转岗：开发

Nora_yu·2021-12-23 14:57

图文详解HTTP头中的SQL注入

目录1.HTTP头中的注入介绍2.HTTPUser-Agent注入3.HTTPReferer注入4.sqlmap安全测试5.HTTP头部详解总结HTTP头中的SQL注入1.HTTP头中的注入介绍在安全意识越来越重视的情况下

·2021-12-19 13:25

压测工具笔记（一）之主流工具

blog.csdn.net/weixin_...)压测工具笔记(二)之JMeter：https://blog.csdn.net/weixin_...简介在移动应用和Web服务正式发布之前，除了进行必要的功能测试和安全测试

·2021-12-08 21:55

猴赛雷上次我见过这么厉害的安全测试实战演练还是上次

01概念介绍1.1xssXSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各

软件测试君·2021-12-07 20:55

软件测试实例分析

图2.常见共享单车示例测试要点共享单车测试主要从界面测试、安全测试、兼容性测试、易用性测试、压力

xioacd99·2021-12-05 09:00

OWASP-TOP10漏洞详解以及防护方案

OWASPTOP10漏洞详解以及防护方案OWASP介绍官网：http://www.owasp.org.cn/OWASPTOP10指出了WEB应用面临最大风险的10类问题，是目前WEB应用安全方面最权威的项目

CKCsec·2021-12-02 14:47

MySQL|POST基于错误的注入

MySQL|POST基于错误的注入1.Burpsuit抓取HTTP请求Burpsuit是一款Web安全测试的利器，集成了几乎web安全测试中所有需要用到的功能。

山川绿水·2021-11-30 17:50

如何从0到1做一次完整的安全测试

近期针对公司项目做了一次完整的安全测试，扫描出来了不少漏洞，价值还挺大的。回顾整个流程，并没有特别复杂的点，这里程序员还挺多，想着分享下我的实战感悟，希望对做项目的技术人员有所启发。

程序员馨馨紫·2021-11-26 11:59

推荐频道

OWASP安全测试