0x00 前言 如今物联网 RFID系统已经完全融入了我们的生活当中. 从楼宇门禁到 Apple Pay. 可以说其身影是无处不在.很多网友也分享了自己对RFID系统的安全测试心得.不过大多还是基于门禁卡和 Mifare-Classic 而言. 实际上在 Mifare 系列的大家族中还有着许多其他类 ...
分类:
其他好文 时间:
2016-05-10 12:48:16
阅读次数:
218
一、用户认证安全的测试要考虑问题: 1. 明确区分系统中不同用户权限 2. 系统中会不会出现用户冲突 3. 系统会不会因用户的权限的改变造成混乱 4. 用户登陆密码是否是可见、可复制 5. 是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6. 用户退出系统后是否删除了所有鉴权标记, ...
分类:
Web程序 时间:
2016-05-07 06:29:11
阅读次数:
234
本文对MobSF这一开源的移动安全测试框架在Ubuntu16.04上的安装遇到的错误进行介绍...
分类:
移动开发 时间:
2016-05-06 15:48:42
阅读次数:
143
定义: 是指在某个特定的硬件、软件、网络环境下通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。 含:执行效率,资源占用,稳定性,安全性(压力测试是安全测试的一种),兼容性(class文件能不能放到兼容性平台上,如程序和浏览器内核能不能弄到一起去) loadrun ...
分类:
其他好文 时间:
2016-04-25 21:05:06
阅读次数:
148
java.util.concurrent包详细分析 java.util.concurrent 包含许多线程安全、测试良好、高性能的并发构建块。不客气地说,创建java.util.concurrent 的目的就是要实现 Collection 框架对数据结构所执行的并发操作。通过提供一组可靠的、高性能并 ...
分类:
编程语言 时间:
2016-04-19 11:56:39
阅读次数:
175
安全问题,一个所有互联网公司挥之不去的伤痛 今天,大致列举一下我们在日常测试工作中应该要注意的安全问题(不涉及拿安全工具描述部分) 1、XSS类:包括存储型和反射型 反射型最容易传播的是搜索URL,注意处理处理这类URL中的XSS风险代码 其中存储型的危害比反射型的危害相对要更大,建议在平台做统一处 ...
分类:
其他好文 时间:
2016-04-18 15:00:10
阅读次数:
121
除了正常的功能测试外,我们考虑更多的是异常测试,那异常测试时应该如何进行? 1、截取和修改Post请求 一旦截取到请求后,对于请求头的内容可以随意的增加,删除及修改 2、绕开输入限制 截取请求,输入超级长的内容,如果接收到错误,比如 error 500 :internal server error ...
分类:
其他好文 时间:
2016-04-09 17:01:07
阅读次数:
167
安全方面逐渐转向app安全,服务端app安全测试基本上跟常规的web方面挖掘差不多,只是增加了一个反编译或抓包的过程。 参考文献: http://drops.wooyun.org/tips/749 http://drops.wooyun.org/tips/2423 http://my.oschina ...
分类:
移动开发 时间:
2016-04-09 16:41:07
阅读次数:
141
简介:IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection ...
分类:
移动开发 时间:
2016-04-06 16:56:31
阅读次数:
311
2.1安全测试
2.1.1软件权限
1)扣费风险:包括发送短信、拨打电话、连接网络等
2)隐私泄露风险:包括访问手机信息、访问联系人信息等
3)对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测
4)限制/允许使用手机功能接人互联网
5)限制/允许使用手机发送接受信息功能
6)限制/允许应用程序来注册自动启动应用程序
7)限制或使用本地连接
8)限制/允许...
分类:
移动开发 时间:
2016-03-29 10:53:08
阅读次数:
272
