OWASP安全测试

AWVS扫描器扫描web漏洞

AWVS(AcunetixWebVulnerabilityScanner)WVS(WebVulnerabilityScanner)是一个自动化的web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循
Pig_deng饲养员·2023-11-01 00:55

抓包工具charles修改请求和返回数据

数据篡改的主要使用场景:(1)mock场景,mock入参和返回值参数,实现mock测试(2)安全测试,对于支付金额等比较重要的字段,可以修改请求参数来进行安全测试1.首先选择要篡改数据的接口,点击右键选择功能列表中的
测试界的路飞·2023-11-01 00:51

史上最详细sqlmap入门教程

最近做安全测试,遇到了SQL盲注的漏洞,从发现漏洞,确认漏洞,协助开发复现漏洞,验证漏洞一整套流程下来,有了亿点点收获,下面分享给大家,希望对软件测试同学有所启发,难度不大,小白看完也能上手的那种。
程序员馨馨·2023-10-31 23:47

常见的安全测试漏洞

一、SQL注入攻击SQL注入攻击主要是由于程序员在开发过程中没有对客户端所传输到服务器端的参数进行严格的安全检查,同时SQL语句的执行引用了该参数,并且SQL语句采用字符串拼接的方式执行时,攻击者将可能在参数中插入恶意的SQL查询语句,导致服务器执行了该恶意SQL语句。SQL注入可能造成的危害有:网页、数据被篡改,核心数据被窃取,数据库所在的服务器被攻击,变成傀儡主机。1.测试方法在需要进行查询的
测试界的飘柔·2023-10-31 21:45

逻辑漏洞挖掘之CSRF漏洞原理分析及实战演练 | 京东物流技术团队

一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。
京东云技术团队·2023-10-31 19:04

左移测试,如何确保安全合规还能实现高度自动化?

基于蚂蚁集团内部多年实践,云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代码扫描Pinpoint,软件成分分析SCA,交互式安全测试IAST,运行时防护RASP,安全洞察
支付宝技术团队·2023-10-31 11:29

信息安全保障基础

.信息安全保障基础3.密码及应用技术基础4.渗透测试情报收集5.信息泄露6.跨站脚本XSS7.SQL注入式攻击8.目录遍历9.代码/命令执行10.弱口令11.渗透测试技术【12.安全渗透技术演练13.安全测试工具与环境建设
hyhrosewind·2023-10-31 10:20

Xray的简单使用

大至OWASPTop10通用漏洞检测,小至各种CMS框架POC,均可以支持。代码质量高。编写代码的人员素质高,通过CodeReview、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。
来日可期x·2023-10-31 01:12

一站式解决安全问题

为软件开发人员、设计人员、测试人员和信息安全管理和监督人员提供从安全意识、安全需求、安全设计、安全编码、安全测试和维护及安全标准等多方面
weixin_42400722·2023-10-31 01:33

软件测试常见面试题一

跟踪编写测试报告上线后进行回归测试总结2.如何编写测试用例了解需求,根据需求设计方法(等价类,边界值……),测试用例要素编号,标题,所属模块,前置条件,操作步骤,预期结果,实际结果3.测试方法和策略功能测试,性能测试,界面测试,安全测试
月阳阳月·2023-10-30 19:37

功能测试想进阶,可以提供一点点思路和方向吗?

2.学习相关测试工具:掌握常用的测试工具,如缺陷发现工具、性能测试工具、安全测试工具等。可以选择一些广泛使用的工具进行学习,也可以了解一些新兴工具。
程序员小雷·2023-10-30 16:07

2022-12-16

龙潭村~闽侯关中村~福州)3.11:复工第一日,野外露营踩点3.16~3.23:山地节前准备3.24~4.4:2020漫山弘毅山地节4.11:骑行营开课4.15:探路西峡谷密洞4.19:在家上学(户外安全测试
秦倩_97d7·2023-10-29 17:24

2021高级测试工程师面试思考

某面试人员条件毕业3~5年熟悉:linux、docker、mysql、MQ、redis、自动化测试、接口测试、性能测试等精通:安全测试
卫彬TM·2023-10-29 15:47

网络滤波器/网络滤波器/脉冲变压器要怎样进行测试,一般要测试哪些参数?

可以使用一些网络安全测试工具,如nmap、Metasploit、Wireshark等,测试网络滤波器的反应和处理能力。二,网络流量的
HQST盛·2023-10-29 10:58

代码审计及示例

简介:代码安全测试是从安全的角度对代码进行的安全测试评估。
arissa666·2023-10-29 07:51

Android安全漏洞-解压zip文件可导致目录遍历

一、问题描述昨天公司的项目安全测试报告显示App存在安全漏洞,评测结果显示“该App存在解压zip文件时可导致目录遍历的漏洞”。
sybil052·2023-10-29 02:44

性能测试工具:如何学习JMeter?

(2)JMeter还可以用于功能测试、接口测试、安全测试等多个领域。2.学习途径(1)官
软件测试曦曦·2023-10-28 17:39

测开( 进阶篇)

目录按测试对象进行划分界面测试可靠性测试容错性灾难恢复性测试-了解即可文档测试兼容性测试易用性测试安装卸载测试安全测试性能测试内存泄漏测试实战-微信发红包的测试用例按是否查看代码划分黑盒测试(Black-boxTesting
lambo mercy·2023-10-28 15:53

网络安全|墨者学院在线靶场|投票系统程序设计缺陷分析

安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。
h1dm·2023-10-28 13:26

汽车网络安全测试

网络安全威胁的多样化使得汽车面临越来越多的网络安全风险。因此,评估汽车网络安全解决方案的重要性日益增加。电子控制单元(ECU)是网络安全技术发展的核心,每个供应商都开发自己的汽车信息安全技术,并应用在自己的环境中。为了保护知识产权,车辆ECU的软件和设计通常是不公开的。因此,当评估ECU的安全性时,必须与汽车制造商或ECU供应商签订合同,如果没有提供关于ECU的充分信息,则需要进行耗时的分析。黑盒
今天天气晴·2023-10-28 12:47

智安网络|揭秘安全测试和渗透测试的异同点

随着云计算的兴起,企业网络安全面临着新的挑战。为了保护企业的核心资产和数据安全,堡垒机作为一种重要的安全设备被广泛应用。传统的堡垒机在过去几十年中发挥了重要作用,但如今,随着云堡垒机的出现,企业在选择合适的堡垒机时面临着更多的选择。传统堡垒机是指在企业内部部署的安全设备,它通常是一种硬件设备或虚拟机,用于控制和监控管理员对敏感资源的访问。它通过集中管理账号和权限,以及记录和审计管理员的操作来保证企
智安网络·2023-10-28 01:37

服务器中间件版本信息泄露,中间件版本信息泄露漏洞

中间件版本信息泄露漏洞《Web安全测试学习手册》-中间件版本信息泄露漏洞0x00中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞
胡子长过汪涵·2023-10-27 13:01

文件上传漏洞的原理、危害、绕过

owasp前十的漏洞加逻辑漏洞一共十一个,到这里我已经差不多把理论知识过了一遍,这里只分享了九个,因为有些漏洞原理我觉得我太菜了不太好总结,所以留下待续,,但是之后我每学到新的漏洞就会把学习总结分享在这里
我是李现大王·2023-10-27 08:10

企业与个人必备安全测试工具

0x01Web漏洞扫描AppsacnAppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的Web应用安全漏洞,例如SQL注入(SQL-injection)、跨站点脚本攻击(cross-sitescripting
Topdayplus·2023-10-27 00:46

漏洞扫描工具Acunetix安装使用

一个比较常见的漏扫工具,可以作为安全测试过程中的初步验证工具使用,不建议依赖此工具的结果,报告可读性差一些,可以结合多个平台的结果来进行正式的测试结果分析。
MING_LUO_M·2023-10-26 23:39

OWASP TOP 10的风险分析、预防措施以及攻击范例(下)

OWASPTOP10的风险分析以及预防措施(A04-A10)A04:2021-不安全设计InsecureDesign风险说明:不安全设计是一个广泛的类别,代表不同的弱点,表示为“缺少或无效的控制设计”。
answer009·2023-10-26 21:52

任意用户密码重置的10种姿势

以前安全测试最爱挖的就是任意用户密码重置,今天看了carry_your师傅在ichunqiu上的视频文字总结一下任意用户密码重置的10种姿势:1,短信验证码可爆破;视频案例中输入手机号码、图片验证码就可以获取短信验证码
simeon2015·2023-10-26 20:26

一文5000字从0到1使用Jmeter实现轻量级的接口自动化测试(图文并茂)

接口测试虽然作为版本的一环,但是也是有一套完整的体系,有接口的功能测试、性能测试、安全测试;同时,由于接口的特性,接口的自动化低成本高收益的,使用一些开源工具或一些轻量级的方法,在测试用例开发的成本不高的情况下能去的比较好的测试效果
美团程序员·2023-10-26 17:58

测试接口用例设计

测试接口用例设计测试接口用例设计功能测试性能测试(概念上也属于接口测试)安全测试接口测试用例设计方法单接口测试用例登录接口添加员工查询员工查询员工删除员工(标记删除:逻辑删除、伪删除(本质:update
月走乂山·2023-10-26 04:43

Java中ReentrantLock测试线程的安全

下面是一个使用ReentrantLock进行线程安全测试的示例代码:importjava.util.concurrent.locks.ReentrantLock;
林隐w·2023-10-25 20:28

21.2 Python 使用Scapy实现端口探测

能够很容易的创建,发送,捕获,分析和操作网络数据包,包括TCP,UDP,ICMP等协议,此外它还提供了许多有用的功能,例如嗅探网络流量,创建自定义协议和攻击网络的安全测试工具。
孤风洗剑·2023-10-25 17:26

接口测试用例命名与分类

5、接口安全测试用例。二、针对不同用途的测试用例,测试用例命名约定推荐统一格式:用例类别前缀序号用例用途描述。1、正常场景
新一コナン·2023-10-25 16:35

信息收集

做渗透测试要拿授权黑盒测试啥也没有白盒测试就是客户给了信息Owasptop10大漏洞无所谓(高频)失效的访问控制越权安全配置错误重头戏信息收集cdn找到真实IP1.通过域名找ip域名和ip通过域名获取ipNslookup
网络安全ggb·2023-10-25 13:52

Java代码审计----<OWASP TOP 10 2017>

Java代码审计----1.注入1.1SQL注入jdbc拼接不当jdbc有两种执行sql语句的方法:Statement和PrepareStatement。区别在于PrepareStatement会进行预编译,Statement每次都会进行编译如下代码,使用拼接方式,将参数”id“的值带入SQL语句中,使用Statement对象,执行SQL语句。这时候,如果攻击者构造”1or1=2“参数,即可判断出
逸琅·2023-10-25 05:58

安全测试-渗透性测试

utm_source=itdadao&utm_medium=referral安全测试-渗透性测试明文传输/存储(明文包括:1.请求中存在明文数据传输。2.内存明文传输用户名和密码。
便儿哥哥·2023-10-25 02:15

一文5000字从0到1使用Jmeter实现轻量级的接口自动化测试(图文并茂)

接口测试虽然作为版本的一环,但是也是有一套完整的体系,有接口的功能测试、性能测试、安全测试;同时,由于接口的特性,接口的自动化低成本高收益的,使用一些开源工具或一些轻量级的方法,在测试用例开发的成本不高的情况下能去的比较好的测试效果
软件测试曦曦·2023-10-25 01:13

安全测试概述和用例设计

一、安全测试概述定义:安全测试是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。概念:安全测试是检查系统对非法侵入渗透的防范能力。
软件测试老莫·2023-10-24 20:35

系统集成测试(SIT)/系统测试(ST)/用户验收测试(UAT)

文章目录单元测试集成测试系统测试用户验收测试黑盒测试白盒测试压力测试性能测试容量测试安全测试SIT和UAT的区别单元测试英文unittesting,缩写UT。
liaowenxiong·2023-10-24 15:45

小迪安全_服务攻防 数据库,中间件安全

&Hadoop&Mysql安全3、ysq1-CVE-2012-2122漏洞4、Hadoop-配置不当未授权三重奏&RCE漏洞3、Redis-配置不当未授权三重奏&RCE两漏洞#章节内容:常见服务应用的安全测试
飞辽个飞·2023-10-23 09:33

二、BurpSuite Intruder暴力破解

一、介绍解释:BurpSuiteIntruder是一款功能强大的网络安全测试工具,它用于执行暴力破解攻击。
黑日里不灭的light·2023-10-23 04:42

web安全测试

建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误.1.输入验证客户端验证服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&*()_+”gfhd,看是否出错;2.输入,看是否出
zishuijing2·2023-10-22 22:25

1024MSF工具的基本使用(第十五课)

1024MSF工具的基本使用(第十五课)1MSF介绍MSF(MetasploitFramework)是一款开源的渗透测试工具,旨在帮助安全专家进行安全测试,评估和漏洞利用。
真正的醒悟·2023-10-22 14:47

第九章 Web 渗透测试和安全软件开发生命周期

我鼓励您通过探索其他参考资料(应用程序安全书籍、在线课程和OWASP网站)来深入研究该主题,以了解其余的缺陷(例如,服务器端请求伪造、开放重定向等
YJlio·2023-10-22 12:21

XSS跨站脚本攻击

一、什么是XSSXSS全称(CrossSiteScripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASPtop102013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本
TXG_818·2023-10-22 12:32

安全测试-XSS攻击

一XSS攻击概念跨站脚本攻击(CrossSiteScripting)缩写XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本,其导致的危害可想而知,如劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览
柳树上有只鸟·2023-10-22 12:59

SOFAStack软件供应链安全产品解析——SCA软件成分分析

基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代码扫描Pinpoint,软件成分分析SCA,交互式安全测试IAST,运行时防护RASP
支付宝技术团队·2023-10-22 08:33

软件安全测试之系统安全测试,软件安全测试报告模板.docx

软件安全测试报告模板员工考勤系统测试分析报告?编制?审核?
阿礅·2023-10-22 05:35

Web系统常见安全漏洞介绍及解决方案-sql注入

案三、使用ORM框架一、常见漏洞类型关于web安全测试,目前主要有以下几种攻击方法:XSS跨站脚本攻击CSRF跨站请求伪造点击劫持(在用户页面之上覆盖一个透明的iframe)h5新标签漏洞SQL注入跨目录访问缓冲区溢出
web15286201346·2023-10-22 03:15

owasp top 10

1、访问控制的崩溃:通过身份验证的用户可以访问其他用户的信息,越权达成方式:通过修改url、内部应用程序状态或html页面绕过防范:除了公有资源外,默认情况下拒绝访问,严格判断权限,记录失败的访问控制及时上报告警,2、敏感数据泄露:达成方式:用户安全意识参差不齐防范:加强员工意识,谨慎使用第三方软件,禁止使用工作邮箱注册非工作相关网站3、注入将sql命令或xss插入到web表单进行查询达成方式:通
困惑的Z同学·2023-10-21 23:17

burp suite 2022下载及安装使用教程

钉钉官网安全性文档地址如下钉钉安全性认证本文介绍了安全测试报告相关内容,包括常见问题、安全测试用例、安全测试结果等。
renkai721·2023-10-21 18:20
上一页 5 6 7 8 9 10 11 12 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他