1问题:没有被验证的输入测试方法:数据类型(字符串,整型,实数,等)允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值(枚举型)特定的模式(正则表达式)2问题:有问题的访问控制测试方法:主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后
分类:
Web程序 时间:
2016-03-07 22:29:53
阅读次数:
216
一、安全测试基本方法及原理 a、绕过客户端控件 b、攻击验证机制 c、攻击会话管理 d、攻击数据存储 Web基础概念 1、HTTP协议请求方法 GET方法: GET请求可能会被网络蜘蛛随意访问; GET方法中如果有隐私、关键信息那就是不安全; 登录中用GET方法请求是不安全的,容易让网络蜘蛛抓取到;
分类:
其他好文 时间:
2016-02-28 16:51:35
阅读次数:
216
转http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户
分类:
Web程序 时间:
2016-02-18 19:43:27
阅读次数:
251
移动互联网App测试点包括:1.安全测试1)软件权限-扣费风险:包括发送短信、拨打电话、连接网络等-隐私泄露风险:包括访问[url=]手机[/url]信息、访问联系人信息等-新增风险项2)开发者官方权限列表信息比对分析2.安装、运行、卸载测试验证App是否能正确安装、运行、卸载,以及操..
分类:
移动开发 时间:
2016-01-07 20:23:21
阅读次数:
205
QQ群522720170,无商业广告,每日干货电子书+视频分享荔枝FM手机客户端搜索“挨踢脱口秀”即可订阅我们视频汇总首页:http://edu.51cto.com/lecturer/index/user_id-4626073.html本人对安全测试并不是十分精通,只了解皮毛,很多朋友都希望我能出一套安全测试的视频,但实在水..
分类:
其他好文 时间:
2016-01-07 11:55:19
阅读次数:
186
reference to :http://www.freebuf.com/tools/50324.html从严重的HeartBleed漏洞到苹果的gotofail 漏洞,再到最近的SSL v3 Poodle漏洞……我们已经见识到了网络流量漏洞所带来的巨大灾难。于是“谷人希”来了!谷歌公司最新开发了一...
分类:
移动开发 时间:
2016-01-04 01:25:08
阅读次数:
209
【实验目的】1.了解AWVS——Web漏洞扫描工具2.学习AWVS的用法【实验原理】AWVS(AcunetixWebVulnerabilityScanner)简介WVS(WebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序..
分类:
Web程序 时间:
2015-12-14 06:49:51
阅读次数:
20032
最近在外派到外包公司,有时候需要负责测试系统刚好本人对那些功能测试感觉比较乏味。对安全测试比较感兴趣。发现项目中编辑框存在xss漏洞只要构造(刚好该网站本身有引入jquery)xss.php:把$_GET['c']保存到文件中这样就能获取到用户cookie了。(在火狐上就算浏览器提示阻止了跨域,但是...
分类:
其他好文 时间:
2015-11-18 19:32:35
阅读次数:
126
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程. 主要安全需求包括: (i) 认证 Authentication: Is the information sent from an authenticated use...
分类:
Web程序 时间:
2015-11-14 12:18:49
阅读次数:
426
1.安全测试 1)软件权限-扣费风险:包括发送短信、拨打电话、连接网络等-隐私泄露风险:包括访问手机信息、访问联系人信息等-新增风险项2)开发者官方权限列表信息比对分析2.安装、运行、卸载测试 验证App是否能正确安装、运行、卸载,以及操作过程和操作前后对系统资源的使用情况,主要包括:1)检测软件是...
分类:
移动开发 时间:
2015-11-03 22:43:15
阅读次数:
298