OWASP安全测试第39页

Web渗透攻击之vega

VegaVega是一个开放源代码的web应用程序安全测试平台，Vega能够帮助你验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其它一些安全漏洞。

千^里·2020-08-16 14:17

APP安全测试小技巧

APP安全测试小技巧---证书校验绕过随着移动互联网的快速发展，很多业务已转移到移动端进行运营，随之而来的就是移动端的安全问题，在早期移动互联网刚刚兴起的时候，很多APP没有重视安全问题，故而没有进行一定的防护

前行的学者·2020-08-16 13:45

网站安全测试

你觉得安全测试应该从哪些方面来检查？欢迎大家讨论交流！会员卖烧烤的鱼的精彩回答：安全性测试（se

hzhuoquan·2020-08-16 12:46

Metasploit实战之-SSH暴力破解过程

运行环境攻击机：KaliLinux靶机：OWASPBrokenWebApps环境搭建传送门：OWASPBrokenWebApps渗透测试环境

huwei0814·2020-08-16 12:13

安全测试常用几个工具

一、网络漏洞扫描器：BurpSuiteBurpSuite在某种程度上很像Maltego，因为它也有一堆帮助渗透测试者和黑客的工具。BurpSuite中有两个常用应用，一个叫"BurpSuiteSpider"，它可以通过监测cookie、初始化这些web应用的连接列举并绘制出一个网站的各个页面以及它的参数；另一个叫"Intruder"，它可以自动执行web应用攻击。同样，如果你是网络安全研究员或者正

李子园的梦想·2020-08-16 12:20

Metasploit与渗透测试简介

渗透测试(PenetrationTesting)是一种通过模拟攻击者的技术与方法，挫败目标系统的安全控制措施并取得访问控制权的安全测试方式。渗透测试的过程并非简单地运行一些

WEL测试·2020-08-16 12:17

IOS 应用安全测试内容

一、客户端数据安全1.1、日志信息安全【测试说明】：日志的暴露会有利于黑客对客户端关键敏感逻辑的逆向分析，检查日志输出的控制是否合理等安全风险点。1.2、数据存储安全【测试说明】：检测ios的数据是否明文储存。1.3、键盘缓存检测【测试说明】：中文应用弹出的默认键盘是简体中文输入法键盘，在输入用户名和密码的时候，如果使用简体中文输入法键盘，输入英文字符和数字字符的用户名和密码时，会自动启动系统输入

大鹏江南飞·2020-08-16 12:55

ANDROID 应用安全测试内容

一、代码安全1.1、源码反编译安全【测试说明】：Apk源代码的暴露，会致使客户端内几乎所有的逻辑流程都被暴露，给主要的业务带来极大的风险。1.2、二次打包安全【测试说明】：APK篡改后二次打包不仅严重威胁应用开发者的版权和经济利益，而且也使APP用户遭受到不法应用的恶意侵害。对客户端程序添加或修改代码，修改客户端资源图片，配置信息、图标，添加广告，推广自己的产品，再生成新的客户端程序，可导致大量盗

大鹏江南飞·2020-08-16 12:55

Cookie 安全测试

15.2Cookie安全测试Cookie提供了一种在Web应用程序中存储用户特定信息的方法，例如存储用户的上次访问时间等信息。但是Cookie在带来这些编程的方便性的同时，也带来了安全上的问题。

漫漫草77·2020-08-16 12:57

超实用！手把手教你如何3步进行Web渗透测试！

一个偶然的机会，有幸邀请到了一家国外专门做web安全的公司来对自己的web系统做安全测试。4周下来，我与几位安全专家多次沟通，完成了对自己系统的威胁建模，渗透测试，白盒测试，一共发现了28个漏洞。

cky8792·2020-08-16 12:47

27. 注入篇——代码注入

代码注入对于代码注入（Codeingection）OWASP将其定义为在客户端提交的代码在服务器端接收后当做动态代码或嵌入文件处理，而Wikipedia将其定义为客户端所提交的数据未经过检查就让web服务器去执行

FLy_鹏程万里·2020-08-16 11:51

安全测试

今天，很多软件并没有经过专门的安全测试便运行在互联网上，它们携带着各类安全漏洞直接暴露在公众面前，其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。

weixin_30535043·2020-08-16 11:15

关于Https安全性问题、双向验证防止中间人攻击问题

关于Https安全性问题、双向验证防止中间人攻击问题最近项目中遇到一个问题，安全测试时反馈出，利用fiddler截取到了客户端与后台的https接口的明文内容，这是一个可怕的问题，那么接下来我从下面几点做一些概述和代码举例

XIAO_Zzz_·2020-08-16 11:33

渗透测试

pantester渗透测试是一种模拟恶意攻击者的技术与方法，挫败目标系统安全控制错失，去的访问控制权，并发现具备业务影响后果安全隐患的一种安全测试与评估方式攻击前（网络踩点、网络扫描、网络查点）攻击中（

samtaoys·2020-08-16 11:16

在ubuntu中安装awvs

AWVS是自动化应用程序安全测试工具，支持windows平台，主要用于扫描web应用程序上的安全问题，如SQL注入，XSS，目录遍历，命令注入等我这里使用的的awvs是Linux版本的，使用的是腾讯云，

被自己菜的睡不着·2020-08-16 11:39

测试同样需要注重安全测试

导读今天，很多软件并没有经过专门的安全测试便运行在互联网上，它们携带着各类安全漏洞直接暴露在公众面前，其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。

Listen2You·2020-08-16 10:38

Burp Suite的安装和配置

进入新公司要负责安全测试，之前没有涉及过的领域，从零开始第一章BurpSuite的安装和配置1、安装下载破解版的BurpSuite1)https://www.waitalone.cn/burpsuite-forever.html

weixin_39430584·2020-08-16 10:49

Web服务组件简介

ChenJ ೄ೨·2020-08-16 10:00

burp suite 安装与常见安全问题的测试方式

安全测试总结：burpsuite使用方法：BurpSuite使用方法BurpSuite使用的版本为1.7.331安装一路点击next，无需进行其他配置。

兰陵胖胖生·2020-08-16 10:25

安全测试工具之-Burpsuite

2019独角兽企业重金招聘Python工程师标准>>>端口即服务，每一个服务对应一个或多个端口。端口扫描即通过一些方法检测到一台主机的一段特定端口是否提供相应的服务。利用这些扫描结果，正常用户可以访问系统所提供的服务，而黑客却可以利用这些服务中的漏洞对系统进行攻击。通过对端口的扫描，就可以得到任何一个系统都开了哪些端口，也就是提供了哪些服务。BurpSuite是什么BurpSuite是用于攻击we

weixin_33810302·2020-08-16 02:44

安全测试工具之Burpsuite

端口即服务，每一个服务对应一个或多个端口。端口扫描即通过一些方法检测到一台主机的一段特定端口是否提供相应的服务。利用这些扫描结果，正常用户可以访问系统所提供的服务，而黑客却可以利用这些服务中的漏洞对系统进行攻击。通过对端口的扫描，就可以得到任何一个系统都开了哪些端口，也就是提供了哪些服务。BurpSuite是什么BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设

weixin_30952103·2020-08-16 02:51

测试从业1到3年经验，常见面试题总结（一）

（手动和自动化结合测试）（2）性能测试------关注APP的性能参数：CPU、FPS、内存、耗电量、流量，同时关注APP的安装和启动耗时（3）接口测试------关注数据的传送，数据的安全加密（4）安全测试

weixin_30781775·2020-08-16 02:05

测试大佬私藏的性能测试岗位常见面试题，拿走拿走别客气！

我从事软件测试及质量保障领域至今，已经有十几个年头了，从白盒自动化测试到黑盒自动化测试，从功能测试到性能测试、安全测试，从测试流程、测试框架到后来的测试管理、质量体系建设，深爱着这个行业，经常为能和小伙伴们攻克了一个技术小山头而激动兴奋

cky8792·2020-08-15 22:15

网络安全-点击劫持（ClickJacking）的原理、攻击及防御

他们准备在OWASP安全大会上公布并进行演示，但是由于很多平台都中了招，包括Adobe在内的厂商要求在漏洞修补

lady_killer9·2020-08-15 20:35

正舵者受邀加入FSRF小组，成为Filecoin网络安全“白帽子”成员

该小组内的成员主要是反馈Filecoin网络bug以及Filecoin网络的安全测试。官方于7月15日公布了相关网站及小组内成员信息。

链报·2020-08-15 17:58

Jenkins自动化发布前端代码VUE (配置模式)

Jenkins发布前端代码VUE(配置模式)Jenkins需要(常用)插件FoldersOWASPMarkupFormatterCredentialsBindingBuildTimeoutTimestamperWorkspaceCleanupNodeJSPipelinePipelineGitHubGroovyLibrariesPipelineStageViewGitGitLabSubversion

君丶梦寻·2020-08-15 11:34

Android安全测试框架Drozer（安装篇）

为了让开发的App更加安全，简单研究了下框架Drozer，以此作为记录。一、安装（Window系统）（1）Python2.7.14（下载）（2）drozer(msi)（3）安卓客户端：drozer(Agent.apkonly)二、使用（1）可以运动adbdevices命令，查看手机是否和电脑连接成功（2）使用adb进行端口转发，转发到上边Drozer使用的端口31415，并进入Drozer控制台：

uniquemei·2020-08-15 08:54

2018黑帽大会工具清单-Blackhat

1、Android，iOS和移动黑客易受攻击的iOS应用程序：Swift版https://github.com/prateek147/DVIA-v22、代码评估OWASP依赖性检查https://github.com

oscarli·2020-08-15 07:03

一个纸杯该如何测试

纸杯的规格：容量、底盘直径、存放时间、存放环境以及不能装的液体关于性能的测试：底盘是否平稳，根据时间、温度、液体来测试是否漏水压力测试：从不同的高度摔下来的损坏程度纸杯是否容易变形、硬度是否足够安全测试

weixin_30270889·2020-08-14 20:02

阿里云Web应用防火墙价格表

基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意访问，避免您的网站资产数据泄露，保障网站的安全与可用性

s3210474610·2020-08-14 14:16

OWASP之XXE（XML外部实体注入）

前提条件libxml2.9.1及以后，默认不解析外部实体。可使用phpinfo()查看libxml的版本信息。网址后加phpinfo.phpXML文档组成：xml声明，DTD部分，xml部分cross-domain-policy根节点，http://…dtd引用文件位置DTD（文档类型定义）为xml文档定义语义约束，内部声明，外部引用dtd用法参考内容：https://blog.csdn.net/

星辰大海0601·2020-08-14 14:21

任意个数玻璃球安全测试问题解析与Python实现

玻璃球安全测试问题一、问题背景介绍二、固定步长测试三、动态规划（1）两个玻璃球的情况（2）三个玻璃球的情况四、Python实现（1）尝试（2）最终方法与Python代码一、问题背景介绍玻璃球如果从一定的高度掉到地上会摔碎

Kl Tho.·2020-08-14 08:57

web应用防火墙的作用和优势

可保护应用层免受攻击，包括OWASP前十大漏洞甚至零日威胁。IncapsulaWeb应用防火墙的优势：•针对所有威胁进行保护IncapsulaCDN是您网络应用的所有传入流量的网关。这使得它在

weixin_33941350·2020-08-14 01:54

Web应用防火墙-网站安全防护

可保护应用层免受攻击，包括OWASP前十大漏

weixin_33709590·2020-08-14 01:14

安全漏洞追踪

，何金勇译出版社：电子工业出版社出版时间：2008-11-1页数：532页开本：16开ISBN：9787121073717分类：图书>>计算机/网络>>网络安全定价：￥65.00宣传语•一本难得的面向安全测试的好书

博文视点·2020-08-14 00:12

F5-WAF-12.0

虚拟机镜像软件包：f5bigipbasicsoftwaresecuritywaf服务优惠价:按服务商许可协议云服务器费用:查看费用立即部署产品详情产品介绍BIG-IP应用安全管理器（ASM）使组织能够防止OWASP

weixin_30664051·2020-08-14 00:11

后台业务安全（一）

后台业务安全（一）学习业务安全的准备工作：掌握一套成熟的业务安全测试的方式方法，消化吸收前人总结的宝贵经验，开拓自己的安全事业。了解目标平台的业务流程。

炒鸡辣鸡复读机·2020-08-13 23:02

OWASP Security Shepherd搭建

登陆虚拟机打开压缩包owaspSecurityShepherdVm_V3.0.zip里面的OwaspSecurityShepherdVMReadMe.txt文件，阅读虚拟机使用说明。

QUSIR·2020-08-13 18:33

智能网联汽车信息安全测试服务，守护车联网安全

上海控安提供智能网联汽车安全测试服务，以建设车联网安全测试体系为目标，通过搭建分层级、可操作的安全测试环境，对智能车车端网络安全进行系统框架分解、业务流程分析、威胁分析建模、渗.透测试

TICPSH·2020-08-13 16:50

浅谈 | 从Web安全到APT防御

也使得安全测试逐渐规范化。作为新人，浅谈一下Web安全观。浅谈从Web安全到APT防御。一、web系统存在的安

Master先生·2020-08-13 10:25

【IDA pro常见问题】IDA pro 运行闪退 - Fatal error before kernel init - 应用程序"ida"不能打开

系统环境MacOS10.12.6问题描述:拿到一个Android应用，需要对其进行安全测试，使用IDApro对SO文件进行调试，日常打开IDApro竟然闪退了，然后还给了一个错误提示“应用程序"ida"

boy默默·2020-08-12 15:22

APP测试与WEB测试的区别(异同)

正常和异常情况去考虑测试点）UI界面测试：都需要按照原型图和设计图检查UI，包括布局、风格和按钮等是否简洁美观、是否统一性能测试（服务器后台的性能测试）：加载翻页的速度、登录时长、内存是否溢出等，测试系统的稳定性安全测试

瓜瓜阿·2020-08-12 14:14

业务安全漏洞挖掘归纳

业务安全漏洞挖掘归纳总结原文链接：https://www.secpulse.com/archives/34540.html#comment-47510x00索引说明6.30在OWASP的分享，关于业务安全的漏洞检测模型

Yzai·2020-08-11 18:34

谈谈全栈测试工程师

我们经常会看到一些公司的岗位描述中，会这样要求测试工程师：要有相关行业背景，互联网或金融产品相关经验N年Web/App产品测试经验，N年管理经验或技术经验精通一种：接口测试、自动化测试（API/WEB）、性能测试、安全测试

蜀山客e·2020-08-11 15:26

测试矩阵是什么，小孩子都懂的，你该不会不知道吧

迷阵“单元测试，集成测试，端到端测试，安全测试，性能测试，压力测试，契约测试，冒烟测试，验收测试，API测试，UI测试，兼容性测试……”不知道你是不是像我一样，曾被这些各种各样的“测试”搞得晕头转向。

程序员张无忌it·2020-08-11 14:00

Metaspliot进行漏洞扫描

它可以用来创建安全测试工具开发的模块，也可利用模块作为一个渗透测试系统。最初是由HDMoore在2003年创建作为一种便携式网络工具包。它是所有的安全研究人员和黑客之间最受欢迎的渗透测试工具之一。

weixin_30895603·2020-08-11 05:03

安全测试流程

1.安全测试在做什么？扫描？在很多人的眼中，做安全的就是整天拿个工具在哪里做扫描操作，使用各种不同的工具做扫描。是的，扫描是安全测试的很重要的一部分，扫描可以快速有效的发现问题。

weixin_30776863·2020-08-11 04:11

【安全测试】sql注入-sqlmap使用

Sqlmap官网：http://sqlmap.org/特点：Sqlmap是开源的自动化SQL注入工具，由Python写成，具有如下特点：1、完全支持Mysql、Oracle、PostgreSQL、MicrosoftSQLServer、MicrosoftAccess、IBMDB2、SQLite、Firebird2、完全支持布尔型盲注（由and、or得到的true或false）、时间性盲注、基于错误信

q_Catherine·2020-08-11 03:57

安全测试入门——sqlmap的简易使用

目录一、了解sql注入注入原理注入举例其他注入手法二、Sqlmap使用环境搭建Sqlmap简介Sqlmap环境搭建三、Sqlmap使用样例基本使用参数详解一、了解sql注入注入原理引用文本通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。注入举例假设一个虚拟接口获取团队信息的接口http://www.baidu.com/api/group

想喝美式却头晕·2020-08-11 02:52

安全随机数！Java 随机数 Random 与 SecureRandom

安全测试中，项目中遇到随机数问题，如果安全性要求较高，一般使用SecureRandom类产生随机数。

白客工作室WHS·2020-08-11 00:55

推荐频道

OWASP安全测试