OWASP安全测试第37页

Testing for SQL Injection

https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)BriefSummaryASQLinjectionattackconsistsofinsertionor"injection"ofeitherapartialorcompleteSQLqueryviathedatainputortransmittedfro

kezhen·2020-08-23 22:28

软件评测师考试（再来看一遍书，整理知识点）

安全测试与评估几乎整章都是知识点，记不住就熟读吧，至少能写出一些关键字（叹气····）1、测试与评估内容用户认证机制（保证数据安全的基础）最普通：口令目前主要：数字证书、智能卡、双重认证、安全电子交易协议

阿泽_·2020-08-23 18:11

如何在vue+element项目中利用iframe嵌入第三方网页并实现根据浏览器自适应大小

前段时间利用python+vue+element做了个安全测试平台项目，准备嵌入mobsf这个APP扫描工具，是利用iframe实现的具体代码如下：①scrolling=“no”表示不显示滚动条②style

MoSalah·2020-08-23 17:05

【转】软件测试分类、概念

因为将各个维度划分的内容都整到一块了，在加上各自不同的见解与补充，各种冲突......Findyou我经过多年测试总结基本定为4类测试(最多5类，自动化或者兼容性单独提出来)：功能测试、性能测试、安全测试

浮生醉梦zuozs·2020-08-23 14:28

OWASP Top 10 2017 rc1 中文翻译

**PDF版本报告下载链接:**http://pan.baidu.com/s/1bo9fs55密码:c296关于其他:http://bobao.360.cn/news/detail/4121.htmlPaste_Image.png

303Donatello·2020-08-22 21:50

渗透测试公司对网站文件上传漏洞的安全扫描与检测

APP在上线运营之前都会对网站进行渗透测试，提前检测网站是否存在漏洞，以及安全隐患，避免因为网站出现漏洞而导致重大的经济损失，客户找到我们SINE安全做渗透测试服务的时候，我们都会对文件上传功能进行全面的安全测试

SINE安全·2020-08-22 19:24

Web框架下安全漏洞的测试反思

随着行业对安全的要求越来越高，同时我们电商是经常在网络上发生交易操作的网站，更是要关注安全测试相关的测试场景的考虑。之所以来编写这篇web的里的安全测试的文章，主要是在平时的测试过程中

weixin_34297704·2020-08-22 19:52

OWASP Mantra渗透测试框架安装及使用

2019独角兽企业重金招聘Python工程师标准>>>OWASPMantra是由Mantra团队开发，面向渗透测试人员、Web开发人员和安全专业人员的安全工具套件(基于浏览器，目前是Chromium和Firefox

weixin_33762130·2020-08-22 19:01

测试用例设计——从四个角度考虑：

功能用例设计功能是否正常功能是否按照接口文档实现2.逻辑业务设计是否依赖业务3.异常测试用例设计参数异常：关键字参数、参数为空、多/少参数、错误参数数据异常：关键字数据、数据为空、长度不一致、错误数据4.安全测试用例设计

lmm0513·2020-08-22 17:37

小程序测试

h5不同功能测试：输入输出、边界值、页面交互、特殊/极端情况兼容性测试：操作系统（ios{运行在JavaScriptcore}、安卓{运行在x5内核}）、屏幕兼容性、微信版本兼容性权限测试：授权登录、安全测试

banjigao1743·2020-08-22 16:43

软件测试的分类（三）

）单元测试2）集成测试3）系统测试4）验收测试5）回归测试6）Alpha测试7）Beta测试按测试方法划分1）白盒测试2）黑盒测试3）灰盒测试4）性能测试5）自动化测试6）兼容性测试7）易用性测试8）安全测试

上海凡猫教育科技有限公司·2020-08-22 14:22

使用docker快速搭建Permeate渗透测试系统实践

一、背景笔者最近在做一场Web安全培训，其中需要搭建一套安全测试环境；在挑选渗透测试系统的时候发现permeate渗透测试系统比较满足需求，便选择了此系统；为了简化这个步骤，笔者将系统直接封装到了docker

汤青松·2020-08-22 11:30

从零学习安全测试，从XSS漏洞攻击和防御开始

作者：牛志恒，腾讯互娱开发工程师商业转载请联系腾讯WeTest获得授权，非商业转载请注明出处。原文链接：https://wetest.qq.com/lab/view/422.htmlWeTest导读本篇包含了XSS漏洞攻击及防御详细介绍，包括漏洞基础、XSS基础、编码基础、XSSPayload、XSS攻击防御。_第一部分：漏洞攻防基础知识XSS属于漏洞攻防，我们要研究它就要了解这个领域的一些行话，

腾讯WeTest·2020-08-22 11:46

web安全测试必须注意的五个方面

今天主要给大家分享下有关安全测试的一些知识点以及注意事项。一、安全测试的验证点一个系统的安全验证点包括上传功能、注册功能/登陆功能、验证码功能、密码、敏感信

宜信技术学院·2020-08-22 11:48

WebGoat实验环境搭建 - 2016.01.01

1.1WebGoat简介Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台，这个平台里包含了web中常见的各种漏洞，例如：跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie

baishileily·2020-08-22 09:41

十年未变！安全，谁之责？（上）

在OWASP（OpenWebApplicationSecurityProject）2015年的年报中，SQL注入和跨站点脚本再次被列入Top10软件隐患。

OneAPM蓝海讯通·2020-08-22 09:50

用 Webgoat 撬动地球，看安全测试的引路石！

测试工程师是很多人迈进软件行业的起点。从负责很小的局部到把握整个产品的质量，每个人花费的时间长短不一——从功能到性能、可用性到容错性、从兼容性到扩展性、稳定性到健壮性……方方面面逐渐做广做深。不过，大家逐渐发现，质量这条路的上升空间有层天花板，如果仅限于上面列举的内容但不够深入，固守着手工或半自动测试，则很难突破。很多处于这种状态的人会选择转型，去做产品经理、质量管理、配置管理等方向，甚至去做开发

OneAPM蓝海讯通·2020-08-22 09:16

安全性测试：以用户登录为例

安全性测试包括很多方面，安全性测试的工具又有很多，其中以AppScan最为全面，他几乎涵盖了所有安全测试的问题，并且能够生成一个安全测试报告。

飞翔的大黑壮(猫猫)·2020-08-22 02:30

哈尔滨小蒋福特S-MAX汽车音响改装升级雷贝琴！

福特S-MAX与生俱来便有一种运动血统，而且是欧洲历史上第一款通过五星级安全测试的MPV，麦柯斯在引入国内的最初阶段，福特就将世界级的最高质量标准融入其中。

雷贝琴汽车音响·2020-08-22 02:00

Web开发常见的几个漏洞解决方法

由于一般是开发内部使用的业务系统，所以对于安全性一般不是看的很重，基本上由于是内网系统，一般也很少会受到攻击，但有时候一些系统平台，需要外网也要使用，这种情况下，各方面的安全性就要求比较高了，所以往往会交付给一些专门做安全测试的第三方机构进行测试

伍华聪·2020-08-22 01:21

暴力破解登录密码（登录批量发包）

除了Fortify和Appscan之外，公司还有使用BurpSuit工具对项目代码进行安全测试，例如会对项目进行暴力破解登录密码（登录批量发包），而项目中确实存在该漏洞，现已修复，在这里做总结如下：1.1

weixin_30799995·2020-08-21 22:33

【面经】上海九联金融软测20min

7.谈下你对安全测试的理解？8.实习期工资？9.为什么不留在实习公司？10.在学校成绩如何？绩点如何？11.考计算机证书了吗？四六级成绩？12.了解我们公司的业务吗？金融感兴趣吗？13.你是胖了吗？

Apollo-·2020-08-21 20:47

HashMap的线程不安全（jdk8也会造成死循环，原因暂未查明）

HashMap线程不安全测试代码代码中启动了两个线程共对map进行一共100000存

东方明珠脚下的流浪猫·2020-08-21 20:29

获取你的WIFI密码-fluxion（附操作视频）

fluxion是一款无线安全测试工具，其攻击的原理更偏向于社会工程学中的钓鱼。

chengman3837·2020-08-21 18:57

安全测试关于会话标识未更新的解决方法

最近本人搭了一个框架，用IBMRationalAppScan扫描出其中的一个安全漏洞，描述如下：[1/2]会话标识未更新严重性：高测试类型：应用程序有漏洞的URL：***修复任务：不要接受外部创建的会话标识.[b]会话标识未更新[/b]应用程序WASC威胁分类授权类型：会话定置http://www.webappsec.org/projects/threat/classes/session_fixa

charsli·2020-08-21 17:16

常见安全漏洞及测试方法&工具

安全测试能做什么安全测试指的在软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。通过有效的安

fin_123·2020-08-21 07:48

2018-03-26-owasp top10 -使用含有已知漏洞的组件

1.原理大多数的开发团队并不会把及时更新组件和库当成他们的工作重心，更不关心组件和库的版本，因此攻击者可以探查发现组件、库的版本从而查找可能的攻击点。2.防范措施1.及时移除不必要的依赖、组件、功能、文档等。2.利用工具及时记录组件、库等版本信息，安全等级等、可考虑利用基线扫描软件来及时检测该部分信息。3.在保障业务正常进行的情况下，及时进行更新补丁操作，安装好相应的安全配置。

最初的美好_kai·2020-08-21 06:49

网站被黑的原因真实案例

本文归纳了OWASP组织提出的前十大网络漏洞，包括对每个问题的描述、真实案例以及如何修复它们。

weixin_33830216·2020-08-21 06:14

Web安全测试之XSS

转载来自：http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappenSS全称(CrossSiteScripting)跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.比如获取用户的Cook

说：/~不了·2020-08-21 05:55

Kali Linux 安全工具 TOP10

KaliLinux安全工具TOP10一、Aircrack-ng二、BurpSuite三、Hydra四、John五、Maltego六、MetasploitFramework七、Nmap八、owaspzap

CNwanku·2020-08-21 02:49

解决新版本kali没有安装owasp-zap的问题

1.新版本kali没有owasp在CTF夺旗训练课程中，需要用到该软件，但新版kali并没有内置经过查询，贴吧有大佬说是因为该软件不更新了，所以被去除了，并给出了解决办法2.安装owaspapt-getinstallzaproxy

高冷的宅先生·2020-08-21 00:02

web安全————XSS(攻击篇）

OWASP(openwebapplicationsecurityproject开放式web应用程序安全项目）曾多次把XSS列在榜首，下面我们来了解它的基本原理以及如何有效、正确的防

雲下闲农·2020-08-21 00:14

OWASP——SQL注入（一）

前言对于OWASP发布的十大安全风险简单介绍在上一篇博文已经分享了，本文是对2013年发布的OWASPTop10中的A1注入部分进行分享学习。

lin_not_for_codes·2020-08-21 00:07

Vulhub vulnUni:1.0.1

知识点owasp-zap站点目录爬取sqlmap的使用文件上传主机发现netdiscover端口扫描nmap-A-T5192.168.80.36-oAnmap/nmapweb信息收集使用owasp-zap

hee_mee·2020-08-20 23:32

App测试方法总结

一、安全测试1.软件权限1）扣费风险：包括短信、拨打电话、连接网络等。2）隐私泄露风险：包括访问手机信息、访问联系人信息等。

gantao754246624·2020-08-20 23:16

IBM Security AppScan Standard：扫描和分析结果

IBM®SecurityAppScan®Standard通过扫描应用程序，识别漏洞并生成带有智能修订建议的报告来自动化应用程序安全测试，以简化补救措施。

cuyi7076·2020-08-20 23:40

XXE漏洞研究分析

近期在做个基础的web常见漏洞的ppt，主要参考OWASPTOP102017RC2，此版本中增加了XXE攻击，所以自己简单的研究了下XXE攻击，做个笔记。

chenwan8737·2020-08-20 23:00

安全测试——中间件漏洞

weblogic1.ssrf漏洞能通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp访问到页面该漏洞由uddiexplorerwar包引起，存放路径为：weblogic/Oracle/Middleware/wlserver_10.3/werver/lib解决方案：一、注释掉war包中searchPublicRegistries.jsp，

终将无路可逃·2020-08-20 21:44

渗透测试员必备！超好用的安全工具Top 10盘点！

3、在内网和外网环境下对软件或系统进行安全测试。4、如果入侵测试成功，需要在修复漏洞后重新进行测试，直至漏洞完全修复。测试工具：主要有2类，扫描工具和攻击工具。

cky8792·2020-08-20 21:59

论新时代软件测试人员的工作之道（四）自动化测试之单元及集成测试

在我们的工作中，为了提高测试效率或者做出测试团队的业绩来，都不得不做很多的自动化，当然这包括测试环境搭建，测试数据构造，测试执行，压力及安全测试等等，但是在各个阶段中，应该怎么样做好自动化满足我们的业务发展需要呢

zzzmmmkkk·2020-08-20 21:36

安全测试工具Hping3（用于泛洪）

Hping3能伪造大量随机ip实现DDOS，kali自带工具，属于主流工具。安装：在虚拟机上安装KaliLinux系统因为主要介绍的是分布式拒绝服务的攻击，所以重点讲下使用方法1.Hping3是什么hping3是一款面向TCP/IP协议的免费的数据包生成和分析工具。Hping是用于对防火墙和网络执行安全审计和测试的事实上的工具之一，过去用来利用如今实施在Nmap端口扫描工具中的空闲扫描(IdleS

Snow_小雪_python·2020-08-20 15:13

议题征集 | 2018安全开发者峰会-7月21日

秉承着技术与干货的原则，看雪学院于2017年11月成功举办了第一届安全开发者峰会，议题涵盖了安全编程、软件安全测试、智能设备安全、物联网安全、漏洞挖掘、移动安全、WEB安全、密码学、逆向技术、加密与解密

看雪学院·2020-08-20 03:06

测试管理的核心要素之一：人

测试团队组成：测试团队分成测试工程师、高级测试工程师、测试设计师、资深测试设计师、测试经理等技能区分：功能测试工程师、自动化测试工程师、性能测试工程师、安全测试工程师等。

牧之时·2020-08-19 23:55

APPScan安全漏洞扫描

IBMAppScan是一款非常好用且功能强大的Web应用安全测试工具，曾以WatchfireAppScan的名称享誉业界，RationalAppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的

zengshaotao·2020-08-19 22:50

Windows免费安全测试套件，包含140多款工具(仅供参考学习，禁止非法使用，在法律的范围使用哦！...

2019年3月28日，发布了一个包含超过140个开源Windows安全工具包，红队安全测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“CommandoVM”。

weixin_34208283·2020-08-19 21:43

【渗透测试在线资源】

在线资源渗透测试资源MetasploitUnleashed-免费的metasploit教程PTES-渗透测试执行标准OWASP-开放式Web应用程序安全项目OSSTMM-开源安全测试方法手册Shell脚本资源

weixin_30919429·2020-08-19 21:09

OWASP Top 10 应用安全风险– 2017

A1–注入注入攻击漏洞，例如SQL，OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。A2–失效的身份认证和会话管理与身份认证和回话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份（暂时

城上·2020-08-19 21:48

十大开源Web应用安全测试工具

点击蓝字关注我们Web应用安全测试可对Web应用程序执行功能测试，找到尽可能多的安全问题，大大降低黑客入侵几率。

安全牛·2020-08-19 19:33

来自手动测试的WEB接口自动化测试框架

通过泛化请求条件，例如：边界值，等价值,安全测试等，我们可以自动生成更多的测试用例。通过自动生成的测试用例，我们可以得到返回结果，以及预期的结果，以及判断对错。

limus·2020-08-19 19:44

Web篇(6.3) 15. Kali 下载与安装 ❀ FortiWeb 攻防演练

大多数做安全测试的开源工具都被囊括在内。Kali介绍Kali是由OffensiveSecurity公司开发和维护的。

meigang2012·2020-08-19 18:30

推荐频道

OWASP安全测试