OWASP安全测试

人社部等三部门联合发布9个新职业 包含两个区块链职业

扎实做好“六稳”工作,全面落实“六保”任务,促就业拓岗位,人力资源社会保障部联合市场监管总局、国家统计局近日正式向社会发布一批新职业,包括:“区块链工程技术人员”“城市管理网格员”“互联网营销师”“信息安全测试
slivegogo·2020-07-28 11:43

为什么不推荐去做安全测试工程师?

我不推荐大家去做安全测试工程师。为什么不推荐大家去做安全测试
WeTester·2020-07-28 08:08

App测试那么多机型怎么搞?

机型市场上出现了这样一种平台,可以远程调试app,包含各种机型调试,安全测试,性能,自动化等功能。那么接下来就介绍几个用过的平台。
给你一颗小瓜子·2020-07-28 04:53

105个软件测试工具大放送

Web应用测试工具网站安全测试工具跨浏览器测试工具移动应用测试工具注:工具排名没有任何
moonpure·2020-07-28 03:48

常见Web安全漏洞类型整理

为了对Web安全有个整体的认识,本文整理一下常见的Web安全漏洞类型,主要参考于OWASP组织历年来所研究发布的项目文档。
Fighting_001·2020-07-28 03:12

XSS漏洞解析与挖掘

XSS漏洞是Web应用系统中出现频率最多的漏洞之一,图1为OWASP项目提出的”十大Web应用安全风险”,简称为OWASPTop10。OWA
捡垃圾的小弟弟·2020-07-28 00:53

apache2安装owasp-modsecurity-src

一、安装靶场首先先在kali中安装sqli靶场环境用来测试WAF的可用性,然后安装所需要的WAF,安装owaspsrc规则库,最后启用WAF。
dummersoul·2020-07-27 22:23

安全测试(xss \ csrf 攻击)

web安全之xss攻击xss攻击的全称是Cross-SiteScripting(XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。(主要获取cookie信息)xss一般分为两种类型,持久化的xss和非持久化的xss持久化的xss保持在数据库中非持久
dingxia8473·2020-07-27 21:22

软件测试人员必备知识工具清单

测试工具BeEF:测试xss的OWASPZAP:代理,可以实时查看和修改报文CookieInspector:让cookie操作和编辑更加简单BareTail:在windows上使用linuxtail命令
diananqiang3216·2020-07-27 21:45

sql盲注之报错注入(附自动化脚本)

作者:__LSA__0x00概述渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇
dfdhxb995397·2020-07-27 21:08

【学习笔记】Web安全测试,渗透测试之XSS/CSRF/撞库攻击等业务应用安全漏洞案例解析及学习笔记整理

【业务应用安全漏洞】1.XSS:①全称:CrossSiteScript(跨站脚本)②目的:为了与层叠样式表css区分,将跨站脚本简写为XSS③危害:原则是将一段JavaScript代码注入网页。然后当其他用户访问该页面时,他们将运行黑客编写的JS代码来实现一些帐户控制,盗取用户信息、钓鱼、制造蠕虫等。④概念:黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏览网页时,实现控制用户浏
铜锣烧1号·2020-07-27 21:00

15- web安全测试与appscan Scrawlr的使用

web应用安全性问题认证与授权测试要点认证与授权测试要点之授权session与cookie之cookie测试点:session测试点:上传文件漏洞SQL注入SQL注入原理SQL注入检查工具-scrawlr最多1500个URLddos拒绝服务攻击-(肉鸡)xss跨站脚本攻击Scrawlr的使用下载地址:https://www.softpedia.com/get/Security/Security-R
dengshenjue2256·2020-07-27 21:58

适用于Java开发人员的微服务:安全测试和扫描

本教程这一部分的灵感主要来自开放Web应用程序安全性项目(简称OWASP),这是一个致力于改善软件安
danpu0978·2020-07-27 21:42

WVS(Web Vulnerability Scanner )

WVS(WebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
chen3888015·2020-07-27 20:47

MobSF:一款移动(安卓、IOS)app安全测试框架的安装和简单使用

文章目录MobSF简介项目地址docker方式安装kaliLinux下的安装MobSF简介移动安全框架(MobSF)是一个智能化、一体化的开源移动应用(Android/iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。它可以有效、快速地对应用APK和IPA文件及压缩的源代码进行审计分析。同时,MobSF也能够通过其APIFuzzer功能模块,对
尸者狗·2020-07-27 14:32

xss跨站脚本漏洞总结

xss难点主要在挖掘.闭合、绕过上XSS(cross-sitescript)跨站脚本自1996年诞生以来,一直被OWASP(openwebappliactionsecurityproject)评为十大安全漏洞中的第二威胁漏洞
努力奋斗的小青年·2020-07-27 14:14

SQL注入获取用户名密码练习(integer型注入)

passfromtbAdminwherename=‘admin’andpass=‘123456’selectname,passfromtbAdminwherename=’’or1=‘1’andpass=‘123456’1=‘1’永远为真这个也是OWASP
nielilijy·2020-07-27 12:19

安全测试(sql注入、xss、csrf)

在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一回事,编程时自然有所注意”。目
遇见美好·2020-07-27 11:52

网络安全之扫描器的讲解awvs安装(12.0版本)

一、Web扫描器Web扫描器是一种可以对Web应用程序进行自动化安全测试的工具,它可以帮助我们快速发现目标存在的安全风险,并能够对其进行持续性安全监控。
卿酌南烛_b805·2020-07-21 09:27

30W年薪网易测试人的一点箴言——我也曾做过点工

自动化测试、性能测试、安全测试,乃至于以后可能出现的大数据测试、AI测试仍存在着非常多的机会。很多测试从业者或多或少会对自己的未来感到迷茫,觉得自己的工作就是用“点点点”,其实不应该这样。
白码会说·2020-07-16 15:53

30W年薪网易测试人的一点箴言——我也曾做过点工

自动化测试、性能测试、安全测试,乃至于以后可能出现的大数据测试、AI测试仍存在着非常多的机会。很多测试从业者或多或少会对自己的未来感到迷茫,觉得自己的工作就是用“点点点”,其实不应该这样。
白码会说·2020-07-16 14:13

TOP10_SQL

最新的OWASPTestingGuide4.0把SQL注入分为以下三类:带内,带外,盲注,所以文章的大体思路也是这样子的。
从来不在调·2020-07-16 06:26

OWASP安全编码规范快速参考的术语

0x01外部的参考资料1.引用的参考资料SansandTippingPoint"TheTopCyberSecurityRisks"http://www.sans.org/top-cyber-security-risks/WebApplicationSecurityConsortiumhttp://www.webappsec.org/CommonWeaknessEnumeration(CWE)h
煜铭2011·2020-07-16 05:10

代码安全审计工具大全

填个坑审计工具大全以下链接为当前比较热门的代码审计推荐文章http://www.freebuf.com/sectool/101256.htmlhttps://www.owasp.org/index.phphttps
卿's Blog·2020-07-16 04:24

压力测试工具

在移动应用和Web服务正式发布之前,除了进行必要的功能测试和安全测试,为了保证互联网产品的服务交付质量,往往还需要做压力/负载/性能测试。
茄肥猫·2020-07-16 02:53

安全编码

安全编码规范基于OWASPTop10(2010)------TheTenMostCriticalWebApplicationSecurityRisks整理,它们列出如下:A1.注入(Injection)
M风景·2020-07-16 00:57

Android客户端安全测试方法

Python实战社群Java实战社群长按识别下方二维码,按需求添加扫码关注添加客服进Python社群▲扫码关注添加客服进Java社群▲作者丨Taoing来源丨AdminTeam(Amin_Bug)一、前言在Android系统中包名相同的两个Android应用会被认为是同一个应用,同时安装时会尝试覆盖安装。而覆盖安装时,签名证书必须一致,否则会被拒绝。如果Android应用没有使用应用所有者的证书进
程序员大咖·2020-07-15 18:02

安全测试工具----MobSF的安装(静态分析器的配置)

MobSF可以对ios和android进行安全测试分析,可以对app进行静态和动态的分析,目前,ios只能做动态分析,android既可以做静态分析,也可以做动态分析,本次,主要说明的是在windows
乌龟小妹·2020-07-15 09:31

[2018“安恒杯”Web安全测试大赛] 秋季预选赛writeup

2018“安恒杯”Web安全测试大赛(秋季预选赛)看到一个能拿奖金的比赛忍不住花了3个小时打了一下-w1159最后的排名输入试试-w888F12找答案-w424game简单的MD5-w1279一键payload
ckj123·2020-07-15 09:28

OWASP_DVWA_文件上传漏洞

不定期补充、修正、更新;欢迎大家讨论和指正目录概览LOW源码MEDIUM源码HIGH源码概览文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器
头还没禿我还能学·2020-07-15 08:19

web安全---文件上传漏洞实验

实验环境目标靶机:OWASP_Broken_Eeb_Apps_VM_1.2下载地址:https://sourceforge.net/projects/owaspbwa/files/百度云链接:链接:https
凝视的光·2020-07-15 07:33

开源移动安全测试框架MobSF安装过程踩过的那些坑(一)

项目简介移动安全框架(MobSF)是一个智能化、一体化的开源移动应用(Android/iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析(动态分析目前暂时只支持Android)。它可以有效、快速地对应用APK和IPA文件及压缩的源代码进行审计分析。同时,MobSF也能够通过其APIFuzzer功能模块,对WebAPI的安全性进行检测,如收集信息,分析安全头部信息,识别移动API的具体漏
weixin_33835103·2020-07-15 04:33

ABP理论之CSRF

想要详细了解的可以查看百度CSRF,扩展阅读OWASP
weixin_33720078·2020-07-15 04:47

安全测试的一些思考总结

一、SQL注入SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令1、表单类注入登录时SQL应该是这样:select*fromuserwhereusername='chengzi'andpassword=md5('123456');我们现在需要构建一个比如:在用户名输入框中输入:’or1=1#,密码随便输入,这时候的合成后的SQL查
躲不过这哀伤·2020-07-15 04:32

业务安全漏洞挖掘归纳总结[转自乌云]

业务安全存在的一些常见问题,总结得很好,来自乌云知识库,原文链接:http://drops.wooyun.org/web/69170x00索引说明6.30在OWASP的分享,关于业务安全的漏洞检测模型。
weixin_30677617·2020-07-15 03:37

[原创]移动安全测试框架MobSF介绍

[原创]移动安全测试框架MobSF介绍1mobsf简介MobileSecurityFramework(移动安全框架)是一款智能、集成型、一体化的开源移动应用(Android/iOS)自动渗透测试框架,它能进行静态
weixin_30613343·2020-07-15 03:30

你不知道的Android SDK安全测试

原文地址:http://wetest.qq.com/lab/view/138.html?from=ads_test2_qqtips&sessionUserType=BFT.PARAMS.196734.TASKID&ADUIN=286513245&ADSESSION=1470806885&ADTAG=CLIENT.QQ.5485_.0&ADPUBNO=26602本文由腾讯WeTest授权发布,禁止任
腐骨灵花·2020-07-15 03:08

MobSF安装使用及过程中遇到的错误

一、概述MobSF(Mobile-Security-Framework,移动安全测试框架)是一款智能化、自动化的开源移动应用(Android/iOS/Windows)测试框架,可以对应用进行静态分析和动态分析
vivian_ll·2020-07-15 02:09

移动安全测试框架MobSF(二):动态分析

MobSF框架之动态分析一、使用配置【1】方式一:虚拟设备,配置动态分析器(VirtualBox+MobSF_VM.ova)参考:https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentationhttp://www.freebuf.com/sectool/99475.htmlhttp://www
4lwin·2020-07-15 01:17

何洁怒骂不良媒体上热搜,我却只想给蔡少芬点赞

安全测试环节七宝因为怕妈妈的责备撒谎了,节目播出后,某无良媒体造谣说七宝是习惯性撒谎,何洁为此发文怒斥媒体。但在看了这个综艺节目后,我只想给蔡少芬竖个大拇指,她对孩子的安全教育方式值得我们学习。
果冻骑单车·2020-07-15 00:38

如何做好Web 安全测试

安全测试通常要考虑的测试点更多学习资料https://edu.csdn.net/course/detail/25768https://edu.csdn.net/course/detail/229481,
传说三哥·2020-07-14 14:10

10大主流压力测试工具

在移动应用和Web服务正式发布之前,除了进行必要的功能测试和安全测试,为了保证互联网产品的服务交付质量,往往还需要做压力/负载/性能测试。
langzitianya·2020-07-14 13:19

MobSF,一款开源移动安全测试框架

转载网址(中文):http://www.freebuf.com/sectool/99475.html转载网址(英文):https://github.com/ajinabraham/Mobile-Security-Framework-MobSF在此感谢作者:寰者移动安全框架(MobSF)是一个智能化、一体化的开源移动应用(Android/iOS)自动测试框架,能够对以上两种移动应用进行静态和动态分析
CSU985·2020-07-14 10:12

有效提高java编程安全性的12条黄金法则

Java是具有许多内置安全性功能的开发平台,java在长期的发展过程中,已经经过了很多高强度的安全测试,并经常更新安全漏洞。并且Java生态系统还包括用于分析和报告安全性问题的各种工具。
字母哥博客·2020-07-14 04:31

web安全入门课程推荐--Web 安全恩仇录:漏洞原理

课程介绍本课程主要内容为Web常见漏洞分析,同时会介绍在各个阶段需要做什么事,该课程利用的攻防平台是KaliLinux以及一些Linux和Windows靶机,按照主次会依次介绍OWASP10的漏洞类型。
xuanhun·2020-07-14 03:15

SimpleDateFormat线程安全测试用例

众所周知SimpleDateFormat在多线程环境下是不安全的,具体可以参考https://blog.csdn.net/csdn_ds/article/details/72984646,其本质原因是多线程存在共享变量,导致数据处理结果不一致甚至错误,具体的解决方案:(1)将共享变量设置为局部变量,每个线程私有化;(2)在使用共享变量的时候进行加锁处理,虽然可以解决问题,但是效率低下;(3)使用T
shy078·2020-07-14 02:09

致测试同仁们:让我们做安全测试吧!

今天,很多的软件并没有经过专门的安全测试就被放到互联网上,它们携带着各类安全漏洞暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。
ThoughtWorks·2020-07-14 00:27

WEB安全测试通常要考虑的测试点

1,问题:没有被验证的输入测试方法:数据类型(字符串,整型,实数,等)允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值(枚举型)特定的模式(正则表达式)2,问题:有问题的访问控制测试方法:主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址例:从一个页面链到另一个页面的间隙可以看到URL地址直接输入
zxz1337·2020-07-14 00:19

渗透测试方法与流程

1、安全测试方法学开源手册由ISECOM安全与公共方法学研究所制定,安全测试方法学开源手册(OSSTMM)提供物理安全,人类心理学,数据网络,无线通信媒介和电讯通信这五类渠道非常细致的测试用例,同时给出评估安全测试结果的指标标准
yshh126·2020-07-13 23:45

sql注入漏洞分析

SQL注入是什么sql注入是指利用sql语句,通过web向数据库提交sql语句不正当在未授权的情况下获取数据,sql注入曾被OWASP组织评为十大漏洞之首,可见sql注入漏洞的危害。
杨_xx·2020-07-13 22:32
上一页 39 40 41 42 43 44 45 46 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他