- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
安全测试工具(连载5)
--safe-url=SAFEURL:在测试期间频繁访问的URL地址。 --safe-post=SAFE..:POST数据发送到安全URL。 --safe-req=SAFER.. :从文件中加载安全HTTP请求。 --safe-freq=SAFE..:在两次访问给定安全网址之间测试请求。 --skip-urlencode:忽略有效载荷数据的URL编码。 --level=LEVEL:执行测试的等级(1-5,默认为1)。 --risk=RISK:执行测试的风险(0-3,默认为1)。 --string=STRING:查询时有效时在页面匹配字符串。 --time-sec=TIMESEC:DBMS响应的延迟时间(默认为5秒)。 --union-cols=UCOLS :定列范围用于测试UNION查询注入。 --purge-output:安全地从输出目录中删除所有内容。 --smart :只有在正启发式时才进行彻底测试。 --sqlmap-shell:提示交互式sqlmap shell。
2.3K20发布于 2019-12-12 - 来自专栏啄木鸟软件测试
软件安全性测试(连载5)
仅用于安全属性;不安全属性需要CSS样式编码。 5)编码内容:URL参数 l 转义清单 Ø <a href= "http://www.somesite.com? 12 <em>安全</em>的HTML属性 ESAPI (OWASP企业<em>安全</em>应用程序接口)是一个免费、开源的、网页应用程序<em>安全</em>控件库,它使程序员能够更容易写出更低风险的程序。 4展示的是ESAPI中哪些特殊符号在何种情况下需要转义;<em>5</em>表示ESAPI中特殊符号转义成什么字符。 b b URL一个组件 b b b b b b b b b JavaScript字符串 b b b b b b b b b b b b <em>5</em> #12 \f(用于JavaScript) / / \2f(用于CSS或URL)\/(用于CSS、JavaScript) 回车符:\u000D \r(用于JavaScript) \ \<em>5</em>c
1.4K20发布于 2019-12-23 - 来自专栏QA一隅
App安全测试—Android安全测试规范
数据存储测试 日志中包含敏感信息 安全风险 如果日志中包含用户信息、业务信息,攻击者可以通过抓取日志,搜集整理大量的有用信息。 WebView组件安全测试 WebView是Android系统提供能显示Web页面的系统控件,例如混合类型的App中H5界面就是使用了WebView组件。 Broadcast组件安全测试 空广播造成Broadcast组件拒绝服务 安全风险:攻击者可以发送恶意的消息,控制Receiver执行恶意动作或者造成信息泄露。 Service组件测试 Service组件越权漏洞 安全风险:攻击者可以发送恶意的消息,控制Service执行恶意动作或者造成信息泄露。 键盘劫持测试 安全风险: 攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,特别是银行金融类App。
6.3K42发布于 2021-08-09 - 来自专栏测试邦
安全测试|移动端安全测试drozer
手机应用的快速增长,手机应用安全成为一个热门的话题,android的安全问题有一大部分的原因是因为android的组件暴露、权限使用不当导致的。 ? “ 随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。接下来的小编将带您进入安全测试。” 一、android四大组件 什么是安卓应用组件? 四、测试 1.获取要测试应用的包名 dz>run app.package.list -f sieve ,-f它是模糊匹配,匹配包名中的任一字段,会列出包含该字段的所有包名 ? 5.Content Provider测试 (1)获取Content Provider信息 run app.provider.info -a com.mwr.example.sieve ? (4)同时检测SQL注入和目录遍历 dz>run scanner.provider.injection -a com.mwr.example.sieve 5.service测试 (1)获取service
2.5K30发布于 2019-07-24 - 来自专栏架构驿站
【安全测试】Web安全测试工具简述
skipfish(Windows, Linux, Mac OS X) 这是一个轻量级的安全测试工具,处理速度很快,每秒可处理2000个请求。 x5s(Windows) 跟前一个一样也是Fiddler的插件,用于检测存在XSS漏洞,在网页提供给用户输入的地方是否有过滤<, >等字符。
1.8K51编辑于 2022-03-25 - 来自专栏测试人的日常
安全测试 —— 你了解WEB安全测试吗?
趁着兴起,和团队里的安全测试小伙伴交流了一下,写下了这篇文章,也希望能帮助到更多正在安全测试道路上前行的小伙伴。 2. 开放式Web应用程序安全项目 2.1 什么是OWASP Top 10漏洞? 2.2 你如何进行Web应用程序的安全测试?请描述你的测试方法和工具。 在最后,编写测试报告,汇总所有测试结果和发现的漏洞,并提供建议和解决方案来修复这些漏洞和加强Web应用程序的安全性。 常见的哈希算法有MD5、SHA-1、SHA-2等。其原理是将明文数据通过哈希算法得到一个固定长度的摘要,不同的数据对应的摘要是不同的,而相同的数据对应的摘要是相同的。 后话 好了,以上就是团队中安全测试小伙伴们分享的对应安全基本知识,其实在日常的工作中,我们会接触到的安全测试内容与问题远远不止这些,在安全测试的领域中,只有保持着永远学习的态度才能将产品的安全质量保障活动的水平保持在一个较高的水准
1.8K42编辑于 2023-10-18 - 来自专栏授客的专栏
安全测试 网上商城购买支付安全测试
by:授客 QQ:1033553122 测试思路: 测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。 (价格不变,更换与产品不等价产品),于是试了下,发现还真行~~ 总体来说,测试是一种思想~~要保持思维的发散性~~ 关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧 …… 测试实践: 第1步、 设置代理监听 简单设置如下,Burp Suite v1.6.09版本中默认就配置好了 ? 第5步、 同第4步操作,获取实际不想购买的产品(产品2)的相关信息 ? ? ? ? 第6步、 重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1的ID ?
3.8K21发布于 2019-09-11 - 来自专栏AllTests软件测试
Android安全测试
Android安全测试 目录 1、客户端APP安全 2、服务端安全 3、通信安全(通信保密性) 1、客户端APP安全 (1)反编译-APP加密或者代码混淆或者加壳处理 (2)防二次打包-验证APP签名- 敏感数据不要存储在SDcard上面 APP本地数据存储,是否存有敏感信息,例如sessim、toke、账号等 (5)键盘安全 键盘劫持-客户端开发自定义软键盘防止键盘劫持攻击 使用随机布局的软键盘-客户端对自定义软键盘进行随机化处理 (1)安全策略 密码复杂度策略-密码策珞要满足复杂度要求,不允许设置弱密码 认证失败锁定策略-连续认证失败3次或者5次锁定账号 单点登录限制策略-同一时间只允许一个账号在一个地方登陆 会话超时策略-设置会话超时时间 ,用完即失效;验证码有效期限制,例如5分钟或者10分钟内有效 (2)业务安全 任意账号注册 短信重放攻击 越权漏洞-业务垂直越权、业务平行越权 veb应用常见漏洞:例如SQL注入、XSS、上传、任意文件下载等等 3、通信安全(通信保密性) (1)通过抓包工具查看客户端APP和脂务端通信是否采用https通信 (2)中间人攻击 强校验:客户瑞预存一份服务端证书或者证书的HD5,判断服务谍证书和本地保持的一致
1.5K20编辑于 2022-07-26 - 来自专栏软件测试testclass
安全测试Checklist
安全性测试的实施,需要基于威胁分析方面考虑设置检查点,同时该阶段也是测试案例的设计阶段。 一个优秀的测试策略的设计方案,可以发现更多的软件安全方面存在的安全隐患;在此,博主根据日常项目实施经验,总结了以下安全测试Checklist: ? ? 安全性测试不同于通常来说的软件功能测试,软件功能测试的目的是查找Bug,而安全性测试是查找软件程序本身在设计中存在的安全隐患。 以上安全测试Checklist 需要结合项目具体的情况设计安全测试策略,这样才能在安全测试的过程中发现软件程序本身在设计中存在的安全隐患。你平时在做安全测试的时候都有哪些检查点呢?
2.9K52发布于 2019-10-21 - 来自专栏游戏安全攻防
App安全测试
APP安全威胁 在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全、App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。 App客户端安全测试 运行环境检测 1.反编译App代码,查看App中是否存在检测root的关键代码。 2.运行App程序,观察确认是否能够正常运行并有对应提示用户信息。 本地数据安全检测 App本地数据安全性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的安全性、敏感数据明文直接存储Sdcard。 App服务器安全 App服务端安全需要关注的是服务端API安全、业务逻辑安全、中间件安全、服务器应用安全。主要可以通过渗透测试的方式对App的服务器进行安全检测,通过模拟恶意攻击方式进行对服务器攻击。 从而提高App服务器的安全性。
3.9K31发布于 2021-09-02 - 来自专栏FreeBuf
年度盘点 | 安全测试者偏爱的安全测试工具
国外网站Concise Courses总结了安全测试者常用且好用的安全测试工具,本文摘录并分类整理列举一二,供安全从业者与爱好者参考。 当然,后两者的功能也更丰富,能够为中小企业和企业级组织提供安全项目和高级渗透测试等完整安全解决方案,在 IT 安全审计中也广泛使用。 安全测试中在进行渗透测试时,可以直接使用 Zenmap,因为它可以预先加载所有命令行,不必在命令终端上输入并运行 “nmap”来加载命令帮助提示。 Immunity Debugger (免费) Immunity CANVAS 测试工具可用于测试系统是否安全。这个工具附带特意设计的漏洞利用模块,可用于发现 exploit。 5. WinDbg (免费) WinDbg 与 OllyDbg 类似,是微软发布的 Windows 多用途调试器。
4K71发布于 2018-02-24 - 来自专栏授客的专栏
安全测试 一次关于WEB的URL安全测试
测试思路: 时间精力问题,对web安全这块也没咋深入研究,但因为某个小插曲,公司要求先做个简单的安全测试,主要是针对URL的测试。 这次测试过程中,针对WEB端URL安全测试,有了点新的思路,在这里拿出来和大家分享。 实践上好像也没啥好说的,这里就聊聊思路吧。 回想起来,这次测试本质可以归为“权限”的测试,如下: 案例1: 1、分别开两个浏览器,以两个不同的帐号登陆web后台 2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等 关于测试结果我就不公开了,大致思路就是上面那样的,有兴趣的童鞋可以拿你们家相关的产品试试
1.5K30发布于 2019-09-11 - 来自专栏授客的专栏
安全测试 一次会话安全测试漏洞实例总结
步骤1.按场景所述,打开找回密码页,输入账户(假设账户1)的手机号,验证手机号,然后进入重置密码页面,但是不提交
1.1K20发布于 2019-09-11 - 来自专栏绿盟科技研究通讯
解析5G安全(二):5G安全需求
随着5G的快速建设,5G的安全问题亟待解决。解决5G的安全问题,首先要明确5G的安全需求。 1.2 三大场景对终端的安全需求 除了终端基本的安全需求外,在5G中讨论终端安全需求不能脱离垂直应用场景。5G承载着千行万业的垂直应用,如车联网、工业物联网等。 最后,对于控制器上运行的应用软件,需要进行安全测试以防止应用被植入恶意代码,同时还应做到应用隔离和权限管理,以限制应用对底层资源的访问权限。 在明确了5G的安全需求后,下一篇文章我们将对这些安全需求提出相应的安全举措,同时提出一种面向切片服务的多级协同安全防护机制,希望为5G安全防护提供一个新的视角。 5G安全是机遇也是挑战,让我们拥抱5G安全,共同守护5G的美好未来。 参考文献: [1].Rupprecht D , Kohls K , Holz T , et al.
8.5K22发布于 2019-12-11 - 来自专栏我的安全视界观
【安全测试】Android APP安全测试之敏感信息本地存储
公众号主要将不定期分享个人所见所闻所感,包括但不限于:安全测试、漏洞赏析、渗透技巧、企业安全...... 1 Android数据存储方式 本文简单介绍Android APP的五种数据存储方式(其中本地存储方式四种 ,对本地信息存储进行安全测试以及描述涉及到的检测方法与流程。 3 安全测试工具 在此次的安全测试中,主要使用AndroidSDK(Software Development)中集合的软件开发工具。 4 安全测试方法 4.1 usb连接手机 使用usb线将测试手机与电脑进行连接,手机上允许USB调试,并使用adb查看手机终端状态,若出现设备说明连接成功。 5 参考文档 http://www.cnblogs.com/phoenix--/p/4601724.html 安全测试基础 http://www.cnblogs.com/pxsbest/p/5068482
5.7K50发布于 2018-06-12 - 来自专栏信安百科
安全科普|分享几个安全测试Tips
推荐阅读: 安全科普|某大型社交平台出现舆情信息 CVE-2023-38831|WinRAR 压缩软件披露高危漏洞 CVE-2023-38286|Spring Boot Admin 远程代码执行漏洞
25520编辑于 2023-09-05 - 来自专栏QA一隅
iOS安全测试—网络通讯安全
HTTPS 安全 在 iOS 应用程序中,使用 HTTPS 进行通信是一种更为安全的做法,也是官方所推荐的做法。但是即使使用了 HTTPS,也有可能因为没有校验服务器证书的原因导致被中间人劫持。 如果交互请求数据处理不当,攻击者可以解密得到明文通信数据;甚至进一步伪造App 的请求,这是极大的安全隐患。 安全加固实施建议: App 内要对 HTTPS 证书做校验。 避免使用有漏洞的第三网网络库(如 AFNetworking < 2.5.3 版本)。 关键数据(如登录密码、卡号、交易密码等)单独加密。 通讯协议安全 除了上面提到的明文传输密码的问题外,移动端应用还要面对黑客对于通讯协议的破解的威胁。在成功破解了通讯协议后,黑客可以模拟客户端登录,进而伪造一些用户行为,可能对用户数据造成危害。 防止网络请求被抓包 App 安全越来越受重视,要分析一个App ,抓包是必不可少的,那么如何防止像Charles 之类(中间人攻击类型)的抓包软件的抓包呢?
1.6K20发布于 2021-08-09 - 来自专栏FreeBuf
IoT安全测试指北
关于IoT安全测试的方法,网上也有一些资料,但感觉有用的分享并不多,且杂。 关于IoT要学的东西也还有很多,肯定不是本文这些内容就能说完的,本文就个人已知的知识部分结合经验简单总结一下IoT如何进行安全测试。 IoT体系结构 作为安全人员,需要对测试目标进行充分了解后才能去思考目标可能会存在的问题,也是本质上的从信息收集开始做起。 以上其实还是偏向于web安全测试,但是也有部分IoT设备能提供特别的环境,局域网。 对于C/S客户端架构的安全测试,首先肯定是分析所用协议,常规抓包工具就能搞定,然后按照上文的根据协议的攻击面去进行测试,除此之外,客户端还可以测试逆向信息收集、DLL劫持等,这个测试的并不多,奉上大佬们的文章
3.3K10发布于 2020-09-14 - 来自专栏QA一隅
iOS安全测试-KeyChain
Keychain简介 根据苹果的介绍,iOS设备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。 keychain可以说是系统里唯一可以做到安全可靠存储应用敏感数据并且可以在应用卸载或重新安装时仍然保留其数据的地方。
2.2K40发布于 2021-08-09 - 来自专栏我的安全视界观
【企业安全】甲方眼里的安全测试
纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。 在甲乙双方的安全(渗透)测试在工作中,所体现出来的具体形态也各不一样,主要表现在安全测试流程、测试checklist、漏洞生命周期、安全测试风险以及更多更高的要求等方面。 2 安全测试流程 ---- 为了进一步说明甲乙方的安全测试工作差异,该部分将安全测试涉及到的流程进行列举。 乙方渗透测试流程 乙方工程师在获得用户渗透测试授权书后,可能将着手开始测试。 ? 5、安全测试风险 ---- 在甲方,安全测试的每个环境都可能存在风险,暴力破解、常规web漏洞扫描,也能导致安全部门背故障分。 ,实例发散思维突破 【4】【漏洞赏析】安全运维那些洞 【5】【漏洞赏析】安全业务那些洞 【6】【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇) 【7】【应急响应】redis未授权访问致远程植入挖矿脚本
2.3K30发布于 2018-07-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号