源代码安全测试不再是新鲜话题,在很多的企业已经开展了相关工作,对于已经开展此项目工作的企业来说,我想问的问题则是“在你的源代码安全测试工作中所面临的最大阻力是什么?” 这个问题不同的企业可能有不同的答案,且各有各的道理。 其实,据我总结来看,很多的阻力表象最终都可以归结为“开发人员不配合”的问题。那 ...
分类:
其他好文 时间:
2018-11-29 11:13:41
阅读次数:
130
WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础、XSS基础、编码基础、XSS Payload、XSS攻击防御。 第一部分:漏洞攻防基础知识 XSS属于漏洞攻防,我们要研究它就要了解这个领域的一些行话,这样才好沟通交流。同时我建立了一个简易的攻击模型用于XSS漏洞学习。 1. ...
分类:
其他好文 时间:
2018-11-23 18:26:32
阅读次数:
173
代码安全检查 代码安全检查 需要安装SonarQube(版本6.7,安装了Findbugs插件) MySQL >=5.6,笔者安装的是MySQL 5.7版本 Jenkins需要安装下列插件: SonarQube Scanner for Jenkins Sonar Quality Gates Plug ...
分类:
其他好文 时间:
2018-11-07 11:42:34
阅读次数:
555
漏洞排查思路: 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了! 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传. 2.注入漏洞 字符过滤不严造成的 3.暴库: ...
分类:
Web程序 时间:
2018-11-07 00:45:16
阅读次数:
219
1.jmeter-试玩登录-关联 试了关联,用了正则表达式提取。目前大概懂得了,正则表达式就是提取部分数据嘛。不过细则还没研究。 后来又用了debug sampler来看我提取的那个数据有没有对(以及到底提取了几个数据等) 后来token关联成功了,但是可能由于sign还是没成功 2.token s ...
分类:
其他好文 时间:
2018-10-10 19:12:33
阅读次数:
104
下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器:Nmap Nmap是"Network Mapper"的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划, ...
分类:
其他好文 时间:
2018-09-30 20:06:06
阅读次数:
226
1、给你一个APP,你该如何进行测试? (1)功能测试 主要测试APP的流程和业务要求是否达标(手动和自动化结合测试) (2)性能测试 关注APP的性能参数:CPU、FPS、内存、耗电量、流量,同时关注APP的安装和启动耗时 (3)接口测试 关注数据的传送,数据的安全加密 (4)安全测试 APP内涉 ...
分类:
其他好文 时间:
2018-09-29 21:31:26
阅读次数:
142
现在有不少测试朋友做的项目中,可能也会涉及到支付相关的功能。比如:做商城的,做游戏的以及其他在线交易的网站、APP等。如果支付出了问题,或者用户拿少的钱通过篡改请求数据购买大金额的商品,如果是实物的话,发货前还有可能被发现。如果是虚拟商品话费、游戏币等就有可能造成损失。 所以,不管是实物也好,虚拟商 ...
分类:
其他好文 时间:
2018-09-24 00:41:55
阅读次数:
1109
1.软件测试定义 软件测试是根据需求,构造一些正常和异常的数据,对软件的程序,文档,数据进行测试,更早更快更多地发现软件的缺陷,使其满足客户的需求 2.软件测试分类 按测试阶段划分:单元测试,集成测试,系统测试,验收测试(alpha和Beta测试) 按测试技术(是否关心内部结构划分):白盒测试,黑盒 ...
分类:
其他好文 时间:
2018-09-21 13:33:08
阅读次数:
206
IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection ...
分类:
移动开发 时间:
2018-09-18 19:52:32
阅读次数:
613
