OWASP安全测试

网站漏洞安全测试 具体渗透思路分析

渗透测试这些是经常谈到的问题了,我觉得当有了渗透接口测试之后你就会发现渗透测试这一方面也就是:1.基本漏洞测试;2.携带"低调"构思的心血来潮;3.锲而不舍的信念。我们SINE安全在对客户网站,APP进行渗透测试的过程中会发现客户存在的很漏洞,具体渗透测试的过程这里分享一下:首先要对客户的网站信息内容进行搜集:熟记做信息内容搜集时必须从客户的渗透测试目的动手,二级域名搜集:必须留意的是不是必须做此
websinesafe·2020-09-11 04:19

app安全测试OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全

更多ZAP代理原理和设置请翻阅安全性测试:OWASPZAP2.8使用指南(三):ZAP代理设置需求安装于PC端的OWASPZAP客户端手机模拟器/真机安卓设置我们将
天蝎座的测试之旅·2020-09-11 03:54

appscan-APP安全测试

众所周知,appscan是一款企业级应用安全漏洞扫描神器,但是很多刚刚接触的小伙伴经常会有这样的疑问:appscan怎么扫描移动应用(也就是我们常说的APP)。鉴于此,特作此文以供大家参考,文中有差错或纰漏还望指正为谢。Appscan扫描web应用时一般采用自动探索扫描和手动探索扫描两种方式,具体操作可以详见我CSDN另外一篇文章:https://blog.csdn.net/qq_42610167
天蝎座的测试之旅·2020-09-11 03:54

比较全面的安全测试用例设计思路

建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误.1.输入验证客户端验证服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&*()_+”gfhd,看是否出错;2.输入,看是否出
Sunnyyou2011·2020-09-11 00:57

软件测试一般流程及方法

功能测试1.运行2.应用的前后台切换3.免登陆4.离线浏览5.App更新6.定位、照相机服务7.消息推送三、UI测试1.图形测试2.内容测试四、性能测试五、交互测试六、兼容性测试七、异常测试八、回归测试九、安全测试
Mojitoice·2020-09-11 00:16

安全测试学习之SQLMap

一、初识SQLMapSQLMap是一个自动化的SQL注入工具,其作用是扫描、发现并利用给定URL的SQL注入漏洞。其可以完成的任务包括:1)判断可以注入的参数2)判断可以用哪种sql技术注入3)识别出数据库类型4)根据用户选择读取数据二、5种SQL注入技术1、基于布尔类型的注入根据返回页面判断条件真假2、基于时间的注入判断时间延迟语句是否执行3、基于报错注入页面会返回报错信息4、联合查询注入在可以
你不知道的我-·2020-09-10 14:37

App 安全测试用例--分享

程序代码安全测试运行环境root环境检测模拟器环境检测挂钩框架环境检测防反编译反编译工具检测代码混淆检测代码混淆强度检测关键代码保护检测防篡改程序文件防篡改检测内存数据防篡改检测防调试调试工具防护检测调试行为防护检测内存防护检测防注入进程保护检测服务交互安全测试进程间交互进程间通信数据安全检测屏幕交互界面劫持检测防截屏检测防录屏检测
jsd2honey·2020-09-10 14:59

安全测试流程

1.安全测试在做什么?扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。
jiangzaifu·2020-09-06 23:42

APP安全性测试总结--网上转载

移动APP安全测试老鹰a0人评论7103人阅读2018-08-0616:22:071移动APP安全风险分析1.1安全威胁分析安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁
weixin_30279751·2020-08-26 23:37

Andriod 安全之Windows下CTS自动化测试环境的搭建

原文出处:http://blog.csdn.net/sk719887916/article/details/48050997安卓应用离不开性能测试,也离不开安全测试,CTS是常用的安全测试工具,开发人员了解和正常使用是必不可少的
Tamic大白·2020-08-26 23:05

Arduino 机器人权威指南pdf

John-DavidWarren、JoshAdams和HaraldMolle会带你走进机器人的世界,教会你如何寻找配件、怎样制作机器人、怎样进行编程,甚至告诉你如何对机器人进行安全测试
weixin_30843605·2020-08-26 23:13

Web安全测试工具大全

LiveCDsMonday,January29,20074:02PM828569600AOC_Labrat-ALPHA-0010.iso-http://www.packetfocus.com/hackos/DVL(DamnVulnerableLinux)-http://www.damnvulnerablelinux.org/Testsites/testinggroundsSPIDynamics(l
PolarisHuster·2020-08-26 22:54

基于jmeter+perfmon的稳定性测试记录

这部分的测试活动,与传统的测试任务差别是比较大的,也比较依赖工具,一定程度上性能测试被认为是测试中的“高阶”部分,跟自动化测试、安全测试等并称。
樊尚·2020-08-26 14:47

常见的 Web 应用攻击

uid-7622-action-viewspace-itemid-848701仅仅转载了其中的一部分,详细的内容请参考原文即可在OWASP组织列举的十大Web应用安全隐患中,有两个概率最高的攻击手段,它们分别是
James_woo·2020-08-26 13:43

安全测试系列之—越权漏洞

越权漏洞原理越权访问(BrokenAccessControl,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
Nicole_coder·2020-08-26 13:52

从零开始内建你的安全测试流程

一、安全测试的意义安全问题,没发生的时候我们可以侥幸,一旦发生生产安全问题,对很多公司来说可能就是黑天鹅事件了。平台的安全,是我们测试中不可舍弃的一环,而且需要长期持续的关注。
福禄网络技术团队·2020-08-26 12:00

软件测试分类

验收测试2、按测试实施组织:α、β、第三方3、按测试执行方式:静态测试、动态测试4、按是否查看代码:黑盒测试、白盒测试、灰盒测试5、按是否手工执行划分:手工测试、自动化测试6、按测试对象划分:性能测试、安全测试
NoamaNelson·2020-08-25 17:55

自动化测试—Monkey(压力测试)(不需要代码能力)

一、前言所谓的自动化测试是针对人工测试的另一种测试方式,任何测试类型比如:系统测试、专项测试(性能测试、安全测试、稳定性测试、兼容性测试等)都可以采用自动化的方式进行测试。
阿狸茜茜·2020-08-25 17:02

python测试开发项目 --- 自动化测试框架pytest中文文档

2019独角兽企业重金招聘Python工程师标准>>>最新教程自动化测试框架pytest教程项目简介这里是python测试开发的日常记录,主要涉及单元测试、安全测试、python基础、性能测试等内容。
weixin_34348111·2020-08-25 17:50

安全测试中如何快速搞定Webshell

*严正声明:本文仅用于教育和讨论目的,严谨用于非法用途。*本文作者:DYBOY,本文属FreeBuf原创奖励计划,未经许可禁止转载。WEB安全漏洞中,与文件操作相关的漏洞类型就不少,在大部分的渗透测试过程中,上传文件(大、小马)是必不可少的一个流程,然而各种各样的防火墙拦截了文件上传,遂整理文件操作相关漏洞的各种姿势,如有不妥之处,还望各位斧正,小东感激不尽。最近在代码审计某项目的时候发现了一个文
bylfsj·2020-08-25 17:58

Web网站敏感目录/内容探测工具 – Cansina

Cansina是一款用于发现网站的敏感目录和内容的安全测试工具,通过分析服务器的响应进行探测并使用sqlite保证数据持久性。
天府云创·2020-08-25 17:53

3、信息探测

在进行安全测试之前,最重要的一步就是信息探测:在搜集目标资料时应该搜集哪些资料呢?
fa1lr4in·2020-08-25 17:30

OWASP top 10 (2017) 学习笔记--失效的访问控制

A5:2017失效的访问控制漏洞描述:未对通过身份验证的用户实施恰当的访问控制,攻击者可以利用这些缺陷访问未经授权的功能或数据。漏洞影响:技术影响是攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。业务影响取决于应用程序和数据的保护需求。检测场景:越权:横向越权、纵向越权文件操作:文件上传、文件包含、任意文件下载、任意文件删除预防思路:1、加强引用参数的封装、加密2、
aojiang1365·2020-08-25 16:05

OWASP TOP 10

TOP1-注入简单来说,注入往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,--os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,
a562449131·2020-08-25 16:56

XML防止XXE攻击

描述https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing解决方案:https://www.owasp.org/index.php
第三眼的思绪·2020-08-25 15:02

接口安全性测试技术(1):OWASP Top Ten

OWASPTopTenOWASPTop10是一个面向开发人员和web应用程序安全性的标准意识文档。它代表了关于web应用程序最关键的安全风险的广泛共识。
szchuanshi·2020-08-25 10:57

靶机OWASPBWA下载及安装

靶机简介官网下载路径:https://sourceforge.net/projects/owaspbwa/files/百度云连接:链接:https://pan.baidu.com/s/1lwb0L_sG6
Sculptor-L·2020-08-25 08:39

OWASP ZAP基本使用教程(Kali版)

简介OWASPZAP是一款非常好用的测试工具,也是Kali里自带的工具,一键就可以扫描多种不同类型的漏洞,最好用的一点就是他可以自动爬取子域名。
weixin_43817670·2020-08-25 08:13

搭建DVWA***测试平台

前言:由于工作需要,需要搭建一个***测试的平台用于WAF产品的测试,今天使用XMAPP及DVWA在linux上搭建了一个用于安全测试的靶机,本日记用于记录操作过程以及遇到的问题。
weixin_34233856·2020-08-25 08:14

ZAP介绍

ZAP下载地址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_ProjectZAP中国:http://www.owasp.org.cn/BackTrack5R3
weixin_33772645·2020-08-25 08:17

Kali学习笔记26:OWASP_ZAP

文章的格式也许不是很好看,也没有什么合理的顺序完全是想到什么写一些什么,但各个方面都涵盖到了能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道OWASP_ZAP扫描器不同于之前介绍的Web扫描器:是一个更完善
weixin_30585437·2020-08-25 08:00

OWASP ZAP上手体验

新领到一个任务,试下OWASPZAP。工具说明ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具,可以检测sql注入,跨站脚本,跨站请求伪造以及路径遍历等问题。
ch0wn·2020-08-25 08:51

漏洞扫描工具owasp-zap安装及使用

    在以前的kali版本中是集成了owasp-zap工具的。但是在kali-linux-2019-W37-amd64.iso镜像中该工具不存在了。
a阿飞·2020-08-25 07:55

From SQL Injection To 0wnage Using SQLMap

SQLinjection–oneofthemostcriticalvulnerabilitiestillnow–isstillincludedintheOWASPTop10list’sInjectionflawssection.SQLMapisatoolthathelpspenetrationtestersprovethatSQLinjectionisonethemostcriticalvulne
mydriverc2·2020-08-25 07:47

Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)

在做web安全测试时,常常接手到啥功能都没有的页面。然而大多数站点都用到nginx服务器,不妨可以从这个角度去测试利用。
想冲大厂的癞蛤蟆·2020-08-25 06:43

浅谈php web安全

在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么
qingflyer·2020-08-25 03:01

业务安全 –业务逻辑漏洞

目录业务安全–业务逻辑漏洞业务安全概述;业务安全测试流程:业务数据安全商品支付金额篡改前端JS限制绕过验证请求重放测试业务上线测试*商品订购数量篡改密码找回安全注入业务逻辑信息泄露业务安全概述;简单讲,
Chenamao·2020-08-25 02:18

靶机渗透测试实战 ——> peixun-server

192.168.85.1313、通过firefox浏览器访问peixun的80的端口;【思路】通过浏览网页信息,发现不是cms,是自己写的网站——>扫描工具、扫描目标,根据网页上的功能做测试点;可以针对服务进行攻击;4、用owasp-zap
weixin_45116657·2020-08-25 02:13

华为、中兴等主要设备供应商通过GSMA安全测试

日前,GSMA宣布,华为、中兴通讯、爱立信和诺基亚都通过了产品开发和生命周期管理流程的独立安全审核,并准备提交网络工具包进行第二轮测试。作为GSMA和3GPP建立的网络设备安全保证方案(NESAS)的一部分,正在进行供应商过程和设备的检查。它旨在提高整个移动行业的安全级别,重点放在供应链的供应商方面。在满足第一阶段批准的所有四个条件后,供应商现在将特定设备提交给批准的实验室进行评估。检查结果将提供
飞象网·2020-08-25 00:00

书籍:Python渗透测试实战 Practical Security Automation and Testing(python)- 2019.pdf

实用的安全自动化和测试:使用DevOps和DevSecOps自动化基础架构安全性的一站式指南主要特点保护和自动化保护Web,移动或云服务的技术使用Python,C++,Java和JavaScript自动执行安全代码检查将安全测试
python测试开发_AI命理·2020-08-24 23:09

11个免费的Web安全测试工具

1.NetsparkerCommunityEdition(Windows)这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。2.Websecurify(Windows,Linux,MacOSX)这是个简单易用的开源工具,此程序还有一些人插件支持,可以自动检测网页漏洞。运行后可生成多种格式的检测报告3.Wapiti(Windows,Linux,MacOSX)这是一个用
胖子爱猪蹄·2020-08-24 20:42

黑盒测试不等于手工测试

测试技术的裁剪与合理应用关于测试技术,测试朋友们谈得最多的莫过于黑盒测试、灰盒测试、白盒测试了,再有就是自动化测试及一些专项测试,如性能测试、安全测试、内存泄漏测试等。
wuyanhong1985·2020-08-24 18:18

11 勘察:使用 Shodan 查找在线设备

简介这个搜索引擎可以检索到连接到互联网上的一切设备,安全测试中,可以用于基础信息收集工作基本用法注册账号并登陆:https://www.shodan.io输入搜索关键字:VNCPaste_Image.png
半个王国·2020-08-24 17:28

应用frp+Nginx绕过WAF对部署在公有云上的网站进行安全测试

免责声明本文所提供的程序(方法)可能带有攻击性,仅供安全研究与教学之用。文章作者无法鉴别判断读者使用信息及工具的真实用途,若读者将文章中的工具或信息做其他用途,由读者承担全部法律及连带责任,segmentfault和本文作者不承担任何法律及连带责任。相关资料frp下载:frpNginx下载:Nginx背景介绍应甲方要求,对其某个业务系统进行授权渗透测试。该系统部署在阿X云,系统前端部署在代理主机,
群马5513954·2020-08-24 17:53

自动化测试和手工测试

针对第一种瀑布流程,开发完了在进行测试,最终回归测试结束了再上线,就会比较赶;测试是最后一道屏障和保证,如果不能提供充分的时间,测试用例可能会漏,甚至于该做的性能测试,安全测试会被忽略,日后产生很多的不良影响
weixin_33889665·2020-08-24 17:02

[PHP 安全] OWASP 维护的 PHP 安全配置速查表

文章转自:https://learnku.com/php/t/26973介绍这个页面的目的是为了帮助那些配置PHP和运行它的web服务器的人确保它的安全性。下面你将找到有关php.ini文件的正确配置信息。php.ini下面的一些设置需要适应你的系统,特别是session.save_path,session.cookie_path(例如:/var/www/mysite),和session.cook
summerblue·2020-08-24 15:22

PHP 项目中单独使用 Laravel Eloquent 查询语句来避免 SQL 注入

OWASP(OpenWebApplicationSecurityProject)是一个记录当前web应用所受威胁情况的项目。
summerblue·2020-08-24 15:23

2018-03-18-OWASP TOP 10--敏感信息暴露

3.敏感信息泄漏A:定义网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出对应的安全防护方案。B:常见敏感信息泄漏场景1.URL未授权访问2.越权查看漏洞(水平越权和垂直越权)3.网页中的敏感信息被恶意爬取等C:防范措施:在处理返回用
最初的美好_kai·2020-08-24 05:53

安全测试之会话管理的恶意利用与预防

一、Cookie的应用1.Cookie文件的定义及其功能Cookie文件是指在浏览某个网站时,由web服务器的CGI脚本创建的存储在浏览器客户端计算机上的一个小文本文件。Cookie记录了用户的有关信息,如身份识别号码ID、密码、浏览过的网页、停留的时间、用户在web站点购物的方式或者用户访问该站点的次数等,当用户再次链接web服务器时,浏览器读取Cookie信息并传递给web站点。Cookie的
Sakura0824·2020-08-24 04:47

每日囧图|没想到徐峥当年居然是发型模特!如今........

如今........TOP11一次非常严禁的安全测试TOP
军武次位面·2020-08-24 00:00
上一页 32 33 34 35 36 37 38 39 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他