- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
安全测试工具(连载8)
3.2 DirBuster DirBuster是OWASP(开放WEB软体安全项目- OpenWeb Application Security Project)开发的一款专门用于探测WEB服务器的目录和隐藏文件 lFileWith list of dir/files:选择字典文件,高级用户可以自己书写字典文件 lSelectStarting Option:选择开始选项,包括“标准开始点”和“URL模糊测试”两种方式 建议选择“URL模糊测试”。 lURLto Fuzz—/test.html?url={dir}.asp:如果选择了 “URL模糊测试”, 这里输入/{dir}, 运行时被字典变量替换。 44 DirBuster扫描结果 星云测试 http://www.teststars.cc 奇林软件 http://www.kylinpet.com 联合通测 http://www.quicktesting.net
75720发布于 2019-12-12 - 来自专栏啄木鸟软件测试
软件安全性测试(连载8)
2.4 HTML5的安全 1.
1K20发布于 2019-12-23 - 来自专栏QA一隅
App安全测试—Android安全测试规范
数据存储测试 日志中包含敏感信息 安全风险 如果日志中包含用户信息、业务信息,攻击者可以通过抓取日志,搜集整理大量的有用信息。 Broadcast组件安全测试 空广播造成Broadcast组件拒绝服务 安全风险:攻击者可以发送恶意的消息,控制Receiver执行恶意动作或者造成信息泄露。 Service组件测试 Service组件越权漏洞 安全风险:攻击者可以发送恶意的消息,控制Service执行恶意动作或者造成信息泄露。 if( numReadedBytes > -1 ) msg = new String(tempbuffer, 0, numReadedBytes, "utf-8" 键盘劫持测试 安全风险: 攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,特别是银行金融类App。
6.3K42发布于 2021-08-09 - 来自专栏测试邦
安全测试|移动端安全测试drozer
手机应用的快速增长,手机应用安全成为一个热门的话题,android的安全问题有一大部分的原因是因为android的组件暴露、权限使用不当导致的。 ? “ 随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。接下来的小编将带您进入安全测试。” 一、android四大组件 什么是安卓应用组件? Drozer安装:windows下点击msi直接安装 agent安装:在测试机上安装agent.apk sieve安装:下载sieve.apk,该apk是用来作为被测试的app ? 四、测试 1.获取要测试应用的包名 dz>run app.package.list -f sieve ,-f它是模糊匹配,匹配包名中的任一字段,会列出包含该字段的所有包名 ? 5.Content Provider测试 (1)获取Content Provider信息 run app.provider.info -a com.mwr.example.sieve ?
2.5K30发布于 2019-07-24 - 来自专栏架构驿站
【安全测试】Web安全测试工具简述
skipfish(Windows, Linux, Mac OS X) 这是一个轻量级的安全测试工具,处理速度很快,每秒可处理2000个请求。
1.8K51编辑于 2022-03-25 - 来自专栏测试人的日常
安全测试 —— 你了解WEB安全测试吗?
趁着兴起,和团队里的安全测试小伙伴交流了一下,写下了这篇文章,也希望能帮助到更多正在安全测试道路上前行的小伙伴。 2. 开放式Web应用程序安全项目 2.1 什么是OWASP Top 10漏洞? 对于这题测试人员应该协助开发人员在日常的安全测试中进行一系列的对应活动,如:采用最佳实践,如输入验证,输出编码,访问控制和加密,以及定期进行漏洞扫描和渗透测试,以发现和修复漏洞。 2.2 你如何进行Web应用程序的安全测试?请描述你的测试方法和工具。 在最后,编写测试报告,汇总所有测试结果和发现的漏洞,并提供建议和解决方案来修复这些漏洞和加强Web应用程序的安全性。 后话 好了,以上就是团队中安全测试小伙伴们分享的对应安全基本知识,其实在日常的工作中,我们会接触到的安全测试内容与问题远远不止这些,在安全测试的领域中,只有保持着永远学习的态度才能将产品的安全质量保障活动的水平保持在一个较高的水准
1.8K42编辑于 2023-10-18 - 来自专栏AllTests软件测试
功能性安全测试避坑指南:8大核心测试点+实战案例
1、前言 在数字化时代,软件功能不仅要“能用”,更要“安全能用”。功能性安全测试作为保障系统安全的关键环节,能提前发现功能设计中的安全漏洞,避免用户数据泄露、财产损失等风险。 测试点1:认证机制安全性:检查密码策略、多因素认证、会话时效等是否符合安全规范。 二、数据安全测试:保护核心“信息资产” 数据是系统的核心资产,需重点测试数据在传输、存储、使用过程中的安全性,防止数据泄露或篡改。 测试点1:数据加密:检查敏感数据是否采用加密算法处理。 四、会话管理测试:防止“会话劫持”风险 会话是用户与系统交互的桥梁,需测试会话创建、销毁、标识等环节的安全性,避免会话被劫持或固定。 测试点1:会话标识安全性:检查会话ID是否随机生成、长度足够。 测试点2:日志安全性:验证日志是否具备防篡改能力。 实例:某服务器日志存储在普通文本文件中,测试人员通过修改文件内容可删除自己的操作记录,导致安全事件无法追溯。
27010编辑于 2026-03-02 - 来自专栏授客的专栏
安全测试 网上商城购买支付安全测试
by:授客 QQ:1033553122 测试思路: 测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。 (价格不变,更换与产品不等价产品),于是试了下,发现还真行~~ 总体来说,测试是一种思想~~要保持思维的发散性~~ 关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧 …… 测试实践: 第1步、 设置代理监听 简单设置如下,Burp Suite v1.6.09版本中默认就配置好了 ?
3.8K21发布于 2019-09-11 - 来自专栏AllTests软件测试
Android安全测试
Android安全测试 目录 1、客户端APP安全 2、服务端安全 3、通信安全(通信保密性) 1、客户端APP安全 (1)反编译-APP加密或者代码混淆或者加壳处理 (2)防二次打包-验证APP签名- Service组件-检测组件是否可以被外部应用调用 content provider组件-检测组件是否可以被外部应用调用 Broadcast receiver组件-检测组件是否可以被外部应用 (4)数据安全 (6)屏幕截屏-防止通过连续截图,捕捉到用户密码输入框的密码 (7)界面劫持-防止activity被劫持 (8)本地拒绝服务-使用try catch方式进行捕获所有异常,以防止应用出现拒绝服务 (9) debug调试功能 2、服务端安全 (1)安全策略 密码复杂度策略-密码策珞要满足复杂度要求,不允许设置弱密码 认证失败锁定策略-连续认证失败3次或者5次锁定账号 单点登录限制策略-同一时间只允许一个账号在一个地方登陆 会话超时策略-设置会话超时时间,例如30分钟 UI敏感信息安全-账号和密码输入错误时均提示“账号或密码错误” 安全退出-客户端在用户退出登录时,服务端要及时清除掉session 密码修改验证-密码修改需要有对前密码的认证
1.5K20编辑于 2022-07-26 - 来自专栏软件测试testclass
安全测试Checklist
安全性测试的实施,需要基于威胁分析方面考虑设置检查点,同时该阶段也是测试案例的设计阶段。 一个优秀的测试策略的设计方案,可以发现更多的软件安全方面存在的安全隐患;在此,博主根据日常项目实施经验,总结了以下安全测试Checklist: ? ? 安全性测试不同于通常来说的软件功能测试,软件功能测试的目的是查找Bug,而安全性测试是查找软件程序本身在设计中存在的安全隐患。 以上安全测试Checklist 需要结合项目具体的情况设计安全测试策略,这样才能在安全测试的过程中发现软件程序本身在设计中存在的安全隐患。你平时在做安全测试的时候都有哪些检查点呢?
2.9K52发布于 2019-10-21 - 来自专栏游戏安全攻防
App安全测试
APP安全威胁 在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全、App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。 App客户端安全测试 运行环境检测 1.反编译App代码,查看App中是否存在检测root的关键代码。 2.运行App程序,观察确认是否能够正常运行并有对应提示用户信息。 本地数据安全检测 App本地数据安全性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的安全性、敏感数据明文直接存储Sdcard。 App服务器安全 App服务端安全需要关注的是服务端API安全、业务逻辑安全、中间件安全、服务器应用安全。主要可以通过渗透测试的方式对App的服务器进行安全检测,通过模拟恶意攻击方式进行对服务器攻击。 从而提高App服务器的安全性。
3.9K31发布于 2021-09-02 - 来自专栏FreeBuf
年度盘点 | 安全测试者偏爱的安全测试工具
国外网站Concise Courses总结了安全测试者常用且好用的安全测试工具,本文摘录并分类整理列举一二,供安全从业者与爱好者参考。 当然,后两者的功能也更丰富,能够为中小企业和企业级组织提供安全项目和高级渗透测试等完整安全解决方案,在 IT 安全审计中也广泛使用。 端口扫描类 Nmap (免费) Nmap 的威力很多安全测试者都领略过。Nmap 是 Network Mapper 的缩写。 安全测试中在进行渗透测试时,可以直接使用 Zenmap,因为它可以预先加载所有命令行,不必在命令终端上输入并运行 “nmap”来加载命令帮助提示。 Immunity Debugger (免费) Immunity CANVAS 测试工具可用于测试系统是否安全。这个工具附带特意设计的漏洞利用模块,可用于发现 exploit。
4K71发布于 2018-02-24 - 来自专栏授客的专栏
安全测试 一次关于WEB的URL安全测试
测试思路: 时间精力问题,对web安全这块也没咋深入研究,但因为某个小插曲,公司要求先做个简单的安全测试,主要是针对URL的测试。 这次测试过程中,针对WEB端URL安全测试,有了点新的思路,在这里拿出来和大家分享。 实践上好像也没啥好说的,这里就聊聊思路吧。 回想起来,这次测试本质可以归为“权限”的测试,如下: 案例1: 1、分别开两个浏览器,以两个不同的帐号登陆web后台 2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等 关于测试结果我就不公开了,大致思路就是上面那样的,有兴趣的童鞋可以拿你们家相关的产品试试
1.5K30发布于 2019-09-11 - 来自专栏授客的专栏
安全测试 一次会话安全测试漏洞实例总结
步骤1.按场景所述,打开找回密码页,输入账户(假设账户1)的手机号,验证手机号,然后进入重置密码页面,但是不提交
1.1K20发布于 2019-09-11 - 来自专栏我的安全视界观
【安全测试】Android APP安全测试之敏感信息本地存储
公众号主要将不定期分享个人所见所闻所感,包括但不限于:安全测试、漏洞赏析、渗透技巧、企业安全...... 1 Android数据存储方式 本文简单介绍Android APP的五种数据存储方式(其中本地存储方式四种 ,对本地信息存储进行安全测试以及描述涉及到的检测方法与流程。 在本地信息存储方面,一般主要从SQLite数据库文件和SharedPreferances配置文件是否泄漏敏感信息进行安全测试。 3 安全测试工具 在此次的安全测试中,主要使用AndroidSDK(Software Development)中集合的软件开发工具。 4 安全测试方法 4.1 usb连接手机 使用usb线将测试手机与电脑进行连接,手机上允许USB调试,并使用adb查看手机终端状态,若出现设备说明连接成功。
5.7K50发布于 2018-06-12 - 来自专栏信安百科
安全科普|分享几个安全测试Tips
推荐阅读: 安全科普|某大型社交平台出现舆情信息 CVE-2023-38831|WinRAR 压缩软件披露高危漏洞 CVE-2023-38286|Spring Boot Admin 远程代码执行漏洞
25520编辑于 2023-09-05 - 来自专栏QA一隅
iOS安全测试—网络通讯安全
HTTPS 安全 在 iOS 应用程序中,使用 HTTPS 进行通信是一种更为安全的做法,也是官方所推荐的做法。但是即使使用了 HTTPS,也有可能因为没有校验服务器证书的原因导致被中间人劫持。 如果交互请求数据处理不当,攻击者可以解密得到明文通信数据;甚至进一步伪造App 的请求,这是极大的安全隐患。 安全加固实施建议: App 内要对 HTTPS 证书做校验。 避免使用有漏洞的第三网网络库(如 AFNetworking < 2.5.3 版本)。 关键数据(如登录密码、卡号、交易密码等)单独加密。 通讯协议安全 除了上面提到的明文传输密码的问题外,移动端应用还要面对黑客对于通讯协议的破解的威胁。在成功破解了通讯协议后,黑客可以模拟客户端登录,进而伪造一些用户行为,可能对用户数据造成危害。 防止网络请求被抓包 App 安全越来越受重视,要分析一个App ,抓包是必不可少的,那么如何防止像Charles 之类(中间人攻击类型)的抓包软件的抓包呢?
1.6K20发布于 2021-08-09 - 来自专栏FreeBuf
IoT安全测试指北
关于IoT安全测试的方法,网上也有一些资料,但感觉有用的分享并不多,且杂。 关于IoT要学的东西也还有很多,肯定不是本文这些内容就能说完的,本文就个人已知的知识部分结合经验简单总结一下IoT如何进行安全测试。 IoT体系结构 作为安全人员,需要对测试目标进行充分了解后才能去思考目标可能会存在的问题,也是本质上的从信息收集开始做起。 以上其实还是偏向于web安全测试,但是也有部分IoT设备能提供特别的环境,局域网。 对于C/S客户端架构的安全测试,首先肯定是分析所用协议,常规抓包工具就能搞定,然后按照上文的根据协议的攻击面去进行测试,除此之外,客户端还可以测试逆向信息收集、DLL劫持等,这个测试的并不多,奉上大佬们的文章
3.3K10发布于 2020-09-14 - 来自专栏QA一隅
iOS安全测试-KeyChain
Keychain简介 根据苹果的介绍,iOS设备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。 keychain可以说是系统里唯一可以做到安全可靠存储应用敏感数据并且可以在应用卸载或重新安装时仍然保留其数据的地方。
2.2K40发布于 2021-08-09 - 来自专栏我的安全视界观
【企业安全】甲方眼里的安全测试
纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。 在甲乙双方的安全(渗透)测试在工作中,所体现出来的具体形态也各不一样,主要表现在安全测试流程、测试checklist、漏洞生命周期、安全测试风险以及更多更高的要求等方面。 2 安全测试流程 ---- 为了进一步说明甲乙方的安全测试工作差异,该部分将安全测试涉及到的流程进行列举。 乙方渗透测试流程 乙方工程师在获得用户渗透测试授权书后,可能将着手开始测试。 ? 甲方安全测试流程 甲方安全团队在收到业务方安全提测后,将先与提测方进行业务相关沟通(具体环境、功能等)并评估工作量,再进行测试,测试过程中一般都会进行多次沟通,对象包括对应开发、测试、产品甚至运维。 (攻击篇) 【8】【应急响应】redis未授权访问致远程植入挖矿脚本(完结篇) 【9】【企业安全】企业安全建设需求 【10】【企业安全】企业安全威胁简述 【11】【企业安全】企业安全架构建设 【12】【
2.3K30发布于 2018-07-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号