今天因为项目背景需要,需要检测web接口是否一些安全隐患。 无奈于从未掌握有系统的渗透性知识,只好根据个人对网络协议和 web 的理解,做一些探索,最终发现了一个session fixation attacks漏洞。 场景回顾: 使用抓包工具监听业务的登录登出接口,发现登录后的 JSESSIONID ...
分类:
Web程序 时间:
2018-05-12 02:45:13
阅读次数:
160
Web安全测试学习手册-业务逻辑测试 首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ,参与了<web安全测试学习手册>的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已经成型,先发出来让大家看看,欢迎点评,也可以加入我们一起 ...
分类:
Web程序 时间:
2018-05-12 00:00:08
阅读次数:
294
1、安全测试(权限) 1)软件权限:其中包括发送信息,拨打电话,链接网络,访问手机信息,联系人信息等等 2)数据在本地的存储、传输等 3)执行某些操作时导致的输入有效性验证、授权、数据加密等方面 4)基于各种通信协议或者行业标准来检查 2、安装运行卸载测试 1)验证app能否正确安装运行卸载,以及操 ...
分类:
移动开发 时间:
2018-04-13 11:12:44
阅读次数:
785
kali漏洞分析之数据库评估(一)(二) web层与数据库连接的漏洞在安全测试中并不少见,owasp曾经的top之首sql注入漏洞。 数据库评估软件 1.bbqsql 是一个pyth编写的盲注工具,当检测可疑的注入漏洞时会很有用。同时bbqsql是一个半自动工具,允许客户自定义参数。 2.dbpwa ...
分类:
其他好文 时间:
2018-04-08 00:18:29
阅读次数:
241
1、密码是否加密 抓包时有警告信息:密码信息不能够出现在非https的链接页面 登录功能应该使用https页面 2、登录时“记住我”的功能,如果将用户名和密码写在了cookie里面,就是安全性的bug 3、接口之sql注入 sql注入漏洞存在的前提条件: 1、某个接口中,代码中方法函数查询的sql条 ...
分类:
其他好文 时间:
2018-04-04 21:14:48
阅读次数:
120
渗透测试之攻击篇 ====================================== 视频学习 WEB扫描工具Golismero Golismero是一款开源的Web扫描器,它不但自带不少的安全测试工具,而且还可以导入分析市面流行的扫描工具的结果,如Openvas,SQLMap,DNS r ...
分类:
其他好文 时间:
2018-03-31 17:30:57
阅读次数:
202
Nessus基础知识Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。对应渗透测试人员来说,Nessus是必不可少的工具之一。Nessus概述Nessus通常包括成千上万的最新的漏洞,各种各样的扫描选项,及易
分类:
其他好文 时间:
2018-03-28 11:02:13
阅读次数:
195
sql注入、Xss攻击、命令注入、CSRF攻击、上传漏洞、解析漏洞等 ...
分类:
其他好文 时间:
2018-03-21 17:26:05
阅读次数:
242
https://www.ichunqiu.com/course/59045 http://www.freebuf.com/articles/web/164510.html http://www.freebuf.com/articles/web/160883.html http://www.freeb ...
分类:
其他好文 时间:
2018-03-20 18:07:44
阅读次数:
230
在移动应用和Web服务正式发布之前,除了进行必要的功能测试和安全测试,为了保证互联网产品的服务交付质量,往往还需要做压力/负载/性能测试。然而很多传统企业在试水互联网+的过程中,往往由于资源或产品迭代速度等原因忽视了这一块工作,导致新产品上线之后频繁出现卡顿等严重影响用户体验的问题。那么互联网产品为 ...
分类:
其他好文 时间:
2018-03-12 21:12:23
阅读次数:
276
