session session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。?但程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否包含了一个session标识-称为session id,如果已经包含一个sess ...
分类:
其他好文 时间:
2017-12-22 17:03:24
阅读次数:
116
2018年职业测试工程师的读书清单!走在时代前沿,了解深度学习!
分类:
其他好文 时间:
2017-12-22 11:13:21
阅读次数:
154
Web安全测试中常见逻辑漏洞解析(实战篇) 简要: 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,导致用户A可以操作其他人的信息。? ...
分类:
Web程序 时间:
2017-12-17 19:19:16
阅读次数:
832
一、安全测试基本分类: 1、系统安全 系统加固 安全加固:比如linux中关闭telnet端口,修改ssh端口 检测一些不必要的服务(需要卸载一个ping)--保证系统的最小集 app安全加固:加一层外壳 补丁 消息中间件:activityMQ,rabbitMQ,safMQ(关闭页面,非业务端口,默 ...
分类:
移动开发 时间:
2017-12-15 12:44:07
阅读次数:
272
一、后台接口分类 1、接口类别:restful(json) soap(xml) 2、协议 :http https(ssl) 3、restful接口请求类型 get操作是安全的 post的操作是不安全的 同put delete也是不安全的 4、现状和问题 大部分APP的接口都采用restful架构,r ...
分类:
其他好文 时间:
2017-12-15 11:40:28
阅读次数:
167
DockerScan:Docker安全分析&测试工具 DockerScan:Docker安全分析&测试工具 今天给大家介绍的是一款名叫DockerScan的工具,我们可以用它来对Docker进行安全分析或者安全测试。 项目主页http://github.com/cr0hn/dockerscan 提交 ...
分类:
其他好文 时间:
2017-12-11 19:56:14
阅读次数:
227
知乎推送了一个中间人攻击的软件 ettercap 想着尝试进行一下安装学习, 如果有机会的话安全测试部分应该用的到. 1. 下载: wget https://codeload.github.com/Ettercap/ettercap/tar.gz/v0.8.2 2. 解压缩 步骤省略... 3. 安 ...
分类:
其他好文 时间:
2017-12-08 19:31:30
阅读次数:
1482
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻击,但有时候一些系统平台,需要外网也要使用,这种情况下,各方面的安全性就要求比较高了,所以往往会交付给一些专门做安全测试的第三方机构进行测试,然后根据反馈的漏洞进 ...
分类:
Web程序 时间:
2017-11-17 19:56:41
阅读次数:
305
一. 首先你得了解Web Web分为好几层,一图胜千言: 事实是这样的:如果你不了解这些研究对象是不可能搞好安全研究的。 这样看来,Web有八层(如果把浏览器也算进去,就九层啦,九阳神功……)!!!每层都有几十种主流组件!!!这该怎么办?别急,一法通则万法通,这是横向的层,纵向就是数据流啦!搞定好数 ...
分类:
Web程序 时间:
2017-11-08 14:54:35
阅读次数:
183
https://linux.cn/article-6103-1.html Kali Linux 是一个对于安全测试人员和白帽的一个知名操作系统。它带有大量安全相关的程序,这让它很容易用于渗透测试。最近,Kali Linux 2.0 发布了,它被认为是这个操作系统最重要的一次发布。另一方面,Docke ...
分类:
系统相关 时间:
2017-11-02 14:30:20
阅读次数:
247
