OWASP安全测试

用友UAP_STUDIO65开发环境配置

在UAP-Studio中设置参数:-Dorg.owasp.esapi.res
熊安安·2020-07-31 10:44

[原创]Yeepay网站安全测试漏洞之跨站脚本注入

1什么是跨站脚本注入跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法
weixin_33698823·2020-07-31 10:49

点击劫持(Clickjacking)漏洞技术内幕

Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的
iiprogram·2020-07-30 23:01

XSS过滤速查表

就是OWASP的速查表不过是中文的1.介绍这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。
清浅丶·2020-07-30 20:47

java 防止 XSS 攻击的常用方法总结

1.自己写filter拦截来实现,但要注意的时,在WEB.XML中配置filter的时候,请将这个filter放在第一位.2.采用开源的实现ESAPIlibrary,参考网址:https://www.owasp.org
煮茶听雨·2020-07-30 19:43

渗透测试基础

渗透测试(PenetrationTesting)是指受信任的第三方通过模拟黑客攻击技术与手段对目标网络,系统进行攻击测试,发现目标的安全隐患并给出安全加固建议的一种安全测试与评估方法。一定要授权!
m__ing·2020-07-30 18:42

web安全mysql基础

1项目实验环境目标靶机:OWASP_Broken_Web_Apps_VM_1.2渗透测试机:Kali-linux-2018.2-vm-amd641.sql注入所实现的目的效果(1).对于Web应用程序而言
干睁·2020-07-30 16:25

some online hack game and simulation tests platform

名称:WebGoat项目地址:http://www.owasp.org/index.php/OWASP_WebGoat_Project简介:OWASP项目,WebGoat是一个用于讲解典型web漏洞的基于
西电小西·2020-07-30 15:40

OWASP Top 10--失效的身份认证和会话管理》

说明:本文章仅限于对失效身份认证和会话管理的学习和了解1、定义身份认证:身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等会话管理:HTTP利用会话机制来实现身份认证,HTTP身份认证的结果往往是获得一个令牌并放在cookie中,之后的身份识别只需读授权令牌,而无需再次进行登录认证2、原理开发者通常会建立自定义的认证和会话管理方案
a378177461·2020-07-30 14:05

数据库注入的防范

而数据库注入又是近年来流行的攻击方式,凡是大型应用,很少有不使用数据库的,数据库注入荣登多年OWASP10大安全漏洞榜。因此,做好数据库注入防范十分重要。下面是有效防范数据库注入的方法。1
zhangshanfeng_·2020-07-30 11:31

安全测试工具

Webscan白盒测试工具(sofa项目)http://scan.alipay.net/index.htm功能:Sofa项目的代码安全测试使用场景:开发工程师在交付测试之前,需要使用此工具进行代码安全测试
伊璐·2020-07-30 09:19

注入攻击-SQL注入和代码注入

注入攻击OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为XSS攻击依赖于注入攻击的成功。
weixin_34195142·2020-07-30 03:42

安全测试-渗透性测试

安全测试-渗透性测试明文传输/存储(明文包括:1.请求中存在明文数据传输。2.内存明文传输用户名和密码。3.响应数据中存在明文用户名和密码等。4.客户端反编译存在明文。
weixin_30588827·2020-07-30 02:21

Intent安全测试

Google对Intent的相关函数定义:https://developer.android.com/reference/android/content/Context.htmlActivity:startActivity()startActivityForResult()startActivities(Intent[]intents,Bundleoptions)--Launchmultiplen
weixin_30477293·2020-07-30 02:28

初探 Ettercap: ARP投毒 && DNS欺骗

总之这是一款强大的安全测试工具。笔记二:DNS简单说明了解DNS是什么:DomainNameSy
tiny丶·2020-07-30 02:23

SQL 盲注、SQL 注入、跨站点脚本编制可能解决方案

可用于更轻松生成正确编码的输出的库和框架示例包括Microsoft的Anti-XSS库、OWASPESAPI编码模块和ApacheWicket。[2]了解将在其中使用数据的上下文,以及预期的编码。
司空即墨·2020-07-30 00:10

电商项目实战之web网站测试--业务

路线图:前期准备--需求评审---设计评审---测试计划---功能测试---环境搭建---测试用例---测试架构---性能测试--安全测试---兼容性测试---Bug测试总结测试对象:禅道。
哭着哭着就萌了·2020-07-29 22:25

文件上传漏洞原理及技巧

本文参考书目有pdf,若想认真学习请支持正版买本纸质的参考文档:Upload_Attack_Framework文档链接:http://www.owasp.org.cn/OWASP_Training/Upload_Attack_Framework.pdfps
zusda·2020-07-29 22:14

SQL深盲注入技术

HackChecker黑测工作室-专注于软件安全测试技术研究!
邱建忠tester·2020-07-29 21:03

OWASP——SQL注入(二)

前言继SQL注入(一)对数据库注入的详细内容介绍及相关学习测试之后,本篇博文将对medium级别以及high级别进行分享学习测试结果。medium级别sql注入在low级别的测试里面,因为常见的注入点测试有报错和布尔检测,当时是使用一个单引号进行测试,而除了注入点的这两种测试方法还需要知道是存在数字型注入还是字符型注入,而low级别的正是字符型注入,同样在medium级别下进行注入点测试:1.将安
lin_not_for_codes·2020-07-29 20:44

apache2安装owasp-modsecurity-src

一、安装靶场首先先在kali中安装sqli靶场环境用来测试WAF的可用性,然后安装所需要的WAF,安装owaspsrc规则库,最后启用WAF。
dummersoul·2020-07-29 20:44

使用Sqlmap对dvwa进行sql注入测试(初级阶段)

0.测试准备1)打开Kali虚拟机终端;2)打开靶机OWASP,并通过浏览器,输入IP地址进入dvwa的主页,然后选择SQLinjection进入SQL注入的测试页面1.获取DVWA的url和cookie
阿Q咚咚咚·2020-07-29 18:26

badstore安全测试实验

0.用SuperScan、X-Scan、WebServeFP、N-Stalker等工具扫描这台这个web服务器:可以发现,漏洞挺多的。而且有高风险的,这些漏洞可以通过查找对应的exploit模块来攻击。可以很容易的获得系统权限。这个可以通过Metaexploit或是BackTrack(其上工具很多,包括了Metaexploit)来做到。其中还可以看到Mysql方面的漏洞,这些漏洞可以通过逐步的提权
cy_479577011·2020-07-29 18:36

SQL注入攻击及防御详解

owasp年度top10安全问题中,注入高居榜首。
yjssjm·2020-07-29 17:55

【XXE技巧拓展】————7、XXE (XML External Entity Injection) 漏洞实践

OWASP
FLy_鹏程万里·2020-07-29 15:07

测试常备知识和技能

修改情况执行自动化测试,编写脚本,执行,分析,报告进行性能测试,压力测试等其他测试,执行,分析,调优,报告测试一般流程需求分析测试计划测试设计测试执行测试评估测试总结产品维护产品业务知识所测产品功能所测产品用户场景安全测试方法测试相关技能业务分析能力
Kangbazi·2020-07-29 15:00

测试常备知识和技能

修改情况执行自动化测试,编写脚本,执行,分析,报告进行性能测试,压力测试等其他测试,执行,分析,调优,报告测试一般流程需求分析测试计划测试设计测试执行测试评估测试总结产品维护产品业务知识所测产品功能所测产品用户场景安全测试方法测试相关技能业务分析能力
Kangbaz1·2020-07-29 15:00

sqlmap基本使用方法

sqlmap是安全测试工具,通常用于对已知的http接口进行sql注入测试,一旦注入成功,可以获取到后台包括数据库表、用户信息、数据内容等多种敏感信息,对web漏洞防范有重要意义。
1501220038·2020-07-29 15:16

深入浅出 App 端安全漏洞之备份功能开启及本地拒绝服务漏洞

而蒲公英专家测试在以往进行安全测试项目中多次遇到此类漏洞,其中不乏游戏、金融等存有个人账户财产等的A
蒲公英开发者服务平台·2020-07-29 14:32

渗透测试——SQL注入实验(Sqlmap)

实验环境本实验中,OWASPWeb服务器靶机(10.10.10.129,对外公开域名:www.dvssc.com)含有SQL注入漏洞,在攻击机BT5R1(10.10.10.128)上通过工具进行攻击。
YT--98·2020-07-29 14:43

用DVWA实测ShareWAF防护能力。

本文将用DVWA搭建测试环境,测试ShareWAF对OWASP常见威胁的防护能力。如您是ShareWAF的使用者,从中可学习到相关防护的使用方法,也可了解到相应的防护效果。
w2sfot·2020-07-29 14:08

科锐受邀出席2018安全开发者峰会

秉承着技术与干货的原则,看雪学院精心筛选的议题涵盖了安全编程、软件安全测试、智能设备安全、物联网安全、漏洞挖掘、移动安全、WEB安全、密码学、逆向技术、加密与解密等,吸引了业内顶尖的开发者和技术专家,旨在推动软件开发安全的深入交流与分享
看雪学院·2020-07-29 12:15

代码审计--15--修复方案汇总

1ESAPI使用OWASPESAPI(OWASP企业级安全API)是一个自由开源的web程序安全控制库,它可以让程序员利用此安全API规避很多安全风险。
随 亦·2020-07-29 12:06

360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法

360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法如何做好网站的安全性测试360网站安全检测-在线安全检测,网站漏洞修复,网站后门检测http://webscan.360
weixin_34307464·2020-07-29 12:39

Drozer 安装和使用 (Mac)

简介drozer官网drozergithubdrozer是一款针对Android系统的安全测试框架。
simplehych·2020-07-29 11:39

教你构建钓鱼网站--kali

我的虚拟机安装了是kali和OWASP_Broken,首先kali集成了大量网络测试工具,这里主要用的是wget。社会工程学攻击可能被认为客户端攻击的特殊形式。
hello_coder_kitty·2020-07-29 10:16

CTF在线工具平台

列移位加密算法:【热门文章推荐】:色情资源引发的百度网盘之战浅谈XXE漏洞攻击与防御当子域名遇上搜索引擎安卓版Kali-linux搭建小记利用chrome_remote_interface实现程序化、自动化Web安全测试
nmask·2020-07-29 10:28

CTF在线练习平台

http://ctf.idf.cn/XCTF_OJ竞赛平台:http://oj.xctf.org.cn/problem_archives网络信息安全攻防学习平台:http://hackinglab.cn/OWASP
weixin_41949487·2020-07-29 09:46

常见网络安全漏洞(一)-- 文件包含漏洞

时间环境:DVWA环境(通过安装owasp实现)win7虚拟机(为了安全,尽量在虚拟机上完成)一台web服务器(推荐阿里云的轻量级应用服务器)工具:edjpgcom(将木马代码写进图片的工具)中国菜刀(
qq_29566629·2020-07-29 09:11

OWASP—网络安全攻防初体验》—那些你应该知道的知识(六)

声明:本次实践是基于专用独立环境开放给安全人员实践使用,都是一些常见的漏洞,这些漏洞一般都广为人知,所以你很难在现实中使用,博主写这篇文章的用意也绝不在于次,在此声明!写在前面:近期,有幸参加了一次网络安全攻防技能实践培训。第一次接触该领域,很多理论知识还很缺失,本篇文章将针对课程中介绍的一些知识做简要的回顾,包括攻击开展的一般步骤,一些常用工具的使用方法,以及一些攻击的实践。这是博主第一次接触网
BBIE·2020-07-29 06:08

什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击

ArticleInfoAuthor:任霏Source:原创Category:编程开发View:2261Published:2018-08-2510:03:27在工作中和站长圈混迹多年以后,对安全方面也略知一二,很多同学拿到安全测试报告以后一脸懵逼的不知道这些缩写字母都是什么意思
zhshy11·2020-07-29 03:57

安全测试XSS、CSRF、SQL注入、DDoS攻击

XSSXSS(CrossSiteScript):跨站脚本攻击。恶意攻击者在网页中嵌入恶意脚本,当用户打开网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookies、用户名密码、下载执行木马程序,甚至是获取客户端admin权限等。例如:输入框提交时,通过特殊字符自动嵌入攻击者脚本防范措施:对输入的字符进行HTML转义处理,将其中的“尖括号”,“单引号”,“引号”等特殊字符进行转义编码。
zhanghs1988·2020-07-29 02:49

手动SQL注入基础详解

原文地地址:http://www.nxadmin.com/web/1025.htmlSqlInjection漏洞一直是在owasp排名第一的漏洞类型,有时候注入漏洞很难通过工具检测到.本文将详细介绍一下
yshh126·2020-07-29 02:07

性能测试方向职业发展

(2)技术路线掌握编程技术,拥有业务经验,成为自动化测试工程师、性能测试工程师、软件开发工程师、安全测试工程师、系统分析师、测试总监、研发总监等。(3)管理路线积
ZenronYuan·2020-07-29 01:25

测试Web应用程序中的竞争条件

在对一个应用程序进行黑盒/灰盒安全测试时,我们一般都把精力集中在OWASPTOP10上,而很少去测试“竞争条件”(racecondition)问题。有一个共识是使用黑盒/灰盒方法进行“竞争条件”漏
xuchen16·2020-07-29 01:25

2017秋季赛Web安全测试训练赛wp【安恒】

0x00编辑器的锅看到题目名字就差不多猜到了,swp文件泄露,http://114.55.36.69:20380/.login.php.swp,下载拿到swp文件,打开虚拟机,启动kali,利用命令行执行vim-rlogin.php.swp,修复看到源码,很明显的name和password,输入,直接getflag0x01服务发现这题awvs没扫到有啥漏洞,表哥给的提示是rsync漏洞Nmap扫描
Sp4rkW·2020-07-29 00:06

Wapiti一款小巧的开源安全测试漏洞检测工具

Wapiti是一套OpenSource的站点漏洞检测工具,比较特殊的是,它并不依赖特征数据库,也因此扫描的速度相当快,而探测的则是一些共通性问题,或是作者所宣称的未知漏洞。Wapiti其实是一只PythonScript,可在多数平台运行,在网页开发过程中,用这套工具反复进行测试,以便初步修饰一些问题,算是相当快速而方便,,WapitiMILY:宋体">能检测以下漏洞:·文件处理错误。·数据库注入(
Msro·2020-07-28 18:59

安全测试】Web应用安全之XSS跨站脚本攻击漏洞

前几天我们收到了了一份标题为《XX账号昵称参数中存在存储XSS漏洞》的报告文档,来源是一个叫漏洞盒子的机构,看它的官方介绍,是一个互联网安全测试众测平台。
weixin_30815427·2020-07-28 17:30

SQL注入——报错注入

0x00背景SQL注入长期位于OWASPTOP10榜首,对Web安全有着很大的影响,黑客们往往在注入过程中根据错误回显进行判断,但是现在非常多的Web程序没有正常的错误回显,这样就需要我们利用报错注入的方式来进行
weixin_30510153·2020-07-28 16:43

开源Web安全测试工具调研

skipfishhttps://code.google.com/p/skipfish/Google公司发布了一款称为“Skipfish”的自动Web安全扫描程序,以降低用户的在线安全威胁。Google工程师迈克尔?扎勒维斯基(MichalZalewski)称,尽管Skipfish与Nikto和Nessus等其他开源扫描工具有相似的功能,但Skipfish还具备一些独特的优点。Skipfish通过H
CyanQueen·2020-07-28 13:05
上一页 38 39 40 41 42 43 44 45 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他