owaspbwa中mutillidae版本为2.6.3.1,而最新版的mutillidae版本号2.6.10。首先备份旧版的mutillidaemv/var/www/mutillidae/var/www/mutillidae.bak下载新版mutillidae的zip压缩包,unzip解压,覆盖/var/www/mutillidae目录,但无法运行,提示数据库错误。google一下,是默认包..
分类:
Web程序 时间:
2014-09-01 02:55:13
阅读次数:
591
比较出名的lr之类的就不记录了,只是记录一下之前安全测试相关的一些工具:1.appscan,网页漏洞扫描工具2.webscarab,可以拦截和修改浏览器与服务器之间发送的数据3.httpwatch,可以分析浏览器和服务器之间的数据交互4.wireshark,可以记录到所有网络交互的数据,很强大,但使...
分类:
其他好文 时间:
2014-08-12 16:32:04
阅读次数:
222
1.1 跨站脚本测试1.1.1 GET方式跨站脚本测试编号SEC_Web_XSS_01测试用例名称GET方式跨站脚本测试测试目的由于跨站脚本会导致会话被劫持、敏感信息泄漏、账户被盗,严重时甚至造成数据修改、删除,从而导致业务中断,因此需检测跨站脚本是否存在用例级别1测试条件1、 Web业务运行正常2...
分类:
Web程序 时间:
2014-08-08 12:36:05
阅读次数:
255
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸....
分类:
移动开发 时间:
2014-08-07 12:00:40
阅读次数:
256
漏洞分析是爱加密推出免费 APP 漏洞分析平台,服务包括一键对APK 进行签名数据信息采集、内部配置信息采集、市场渠道相关信息采集、静态分析漏洞信息展示、动态分析漏洞信息展示等功能。...
分类:
移动开发 时间:
2014-08-06 11:56:01
阅读次数:
225
1、某目录下所有文件统一批量修改ip 2、获取登陆者自身ip3、删除某目录下小于10b的文件4、通过Linux执行MySQL脚本5、监控某Java进程下所有线程数6、QTP、watir与selenium的优劣对比7、什么是回归测试,侧重点是什么8、什么是场景下考虑性能测试9、简述安全测试流程10、....
分类:
其他好文 时间:
2014-08-01 10:40:11
阅读次数:
333
探索式测试的定义在我的blog都做了较多说明,其中也谈到了探索式测试在项目的实践方式,接下来会详细的说明其中来亮个实践方式的具体实施过程。探索式测试四象限探索式测试是一种测试风格和思考方式,它强调的是学习在测试过程中的作用。无论测试人员在做功能测试、性能测试、安全测试或其他类型的测试,都可以使用探索...
分类:
其他好文 时间:
2014-07-29 13:41:18
阅读次数:
482
[firebug](https://addons.mozilla.org/en-US/firefox/addon/firebug/?src=collection&collection_id=2f60146e-e43a-4c67-9e78-3441c64f3c0f) - HTML查看和编辑、Javascript控制台、网络状况监视,除错、编辑、甚至...
分类:
Web程序 时间:
2014-07-27 12:16:11
阅读次数:
286
A、SQL注入判定标准:1、追加单引号’或单引号的URL编码形式%27或双编码方式%2527 如果漏洞存在,则提交后服务器响应为出现类似单引号不闭合的数据库错误;2、追加注释符—或注释符的URL编码形式%2d%2d或双编码方式%252d%252d 如果漏洞存在,则提交后服务器响应为出现类似单引号不闭...
分类:
其他好文 时间:
2014-07-26 14:09:25
阅读次数:
234
今天我们来测试请求中参数的篡改,这个在web安全测试中是常用的,拦截请求包,修改参数,提交1. 首先我们需要启动模拟器,并使用本机的代理(加上参数-partition-size的目的是为了可以往android的/system中拷贝数据,要不然会提示“out of memory”错误)。如果是linu...
分类:
移动开发 时间:
2014-07-16 19:23:27
阅读次数:
267
