一些漏洞:sql注入,xss,文件包含,目录遍历,参数篡改,认证攻击即使你有一些防火墙以及waf,那些黑客同样可以绕过这个时候安全人员就需要一些安全检测工具,找出来漏洞,修补是最好的办法下面介绍awvsacunetix web vulnerability scanner一款自动化的web应用安全测试...
分类:
其他好文 时间:
2015-10-26 20:53:00
阅读次数:
1453
近来,在我负责的公司某软件产品的最后测试工作,常常被问到这样一个问题:在做测试过程中,我们的软件产品在安全性方面考虑了多少?应该如何测评一个软件到底有多安全?这个软件因为涉及客户商业上重要的信息资料,因此用户关心的核心问题始终围绕“这个软件安全吗”。一个由于设计导致的安全漏洞和一个由于实现导致的安全...
分类:
其他好文 时间:
2015-10-23 18:14:35
阅读次数:
166
最近开始接触android客户端安全相关技术,以前对移动客户端的测试主要集中在数据传输层面,现在开始学习基于软件层面的安全测试。其实,很多东西和windows平台的软件安全还是有些相似的。 ????APP相关...
分类:
移动开发 时间:
2015-10-22 17:39:47
阅读次数:
922
昨天快下班,同事小T说X平台登录不上去了,看了下报错信息,是数据库没连上。数据库用的是mysql5.5,数据库部署内网的一台机器N上,应用部署在外网主机W上(报错信息为N is not allowed connected...)。应上周安全测试报告对数据库的配置进行了如下的一些整改: 1,删除了r....
分类:
数据库 时间:
2015-09-29 18:28:29
阅读次数:
241
转自testerhomehttps://testerhome.com/topics/1698 序章:Android 安全测试,跟 pc 安全测试一样分为 客户端服务端服务端的安全测试其实很多都跟 pc 端一样,这里不多阐述。 对于应用安全性,从大的方面来说可以分为 2 类,检查和扫描。 检查包含较多...
分类:
移动开发 时间:
2015-09-21 13:54:34
阅读次数:
282
分析工具:抓包工具:Wireshark(最常用)、httpwatch、tcpdumpBurp Suite:常用的http分析工具,有很邪恶的用法;Fiddler:主要监视http和https,用得不多;漏洞扫描工具:appscan:业内最常用的一个工具,资料很多 http://www.cnblogs...
分类:
其他好文 时间:
2015-09-21 13:43:18
阅读次数:
167
Android APP安全测试入门:http://www.secpulse.com/archives/4325.html APP测试要点:http://wenku.baidu.com/link?url=2tQVAE8fja9b2zFD6PpSjGNF2DZTYNTfa1TwQiGoQiboHorwFPvXFnU1X4f9n01p1LzaNQ3adF04y3Pn7VQ...
分类:
移动开发 时间:
2015-09-14 14:04:05
阅读次数:
164
java.util.concurrent 包含许多线程安全、测试良好、高性能的并发构建块。不客气地说,创建 java.util.concurrent 的目的就是要实现 Collection 框架对数据结构所执行的并发操作。通过提供一组可靠的、高性能并发构建块,开发人员可以提高并发类的线程安全、可伸缩性、性能、可读性和可靠性。
如果一些类名看起来相似,可能是因为 java.util.concu...
分类:
编程语言 时间:
2015-08-13 12:25:21
阅读次数:
153
如何使用ThreadingTest提高软件安全性检测效率(中)方法二:ThreadingTest双向追溯专利技术--测试用例(功能)与源代码关系的自动生成通过ThreadingTest运行测试用例,采用TT百万图元级别的超高速图形绘制技术展示图,对各种大、中、小型软件进行功能逻辑实现分析,实现测试用例..
分类:
其他好文 时间:
2015-08-12 14:58:25
阅读次数:
240
如何使用ThreadingTest提高软件安全性检测效率(下)方法三:可视化代码结构分析函数调用图:可以给用户展示一系列关于软件系统的整体信息。如:类或者函数以及类的成员函数的总数目,调用关系或者类的继承关系的深度、层次结构、语句总行数和总体复杂度,整体的测试覆盖率(分..
分类:
其他好文 时间:
2015-08-12 14:57:14
阅读次数:
168
