2014年5月,出现了三个安全众测服务平台:乌云众测、Sobug、Freebuf漏洞盒子。服务模式基本一致:厂商发布安全测试项目,挑选白帽子进行测试,按照发现的漏洞其风险等级付费。这种模式解决了2个问题:1.授权问题:白帽子可以在客户的授权下进行测试,没有法律风险,白帽子对测试结果保密;2.白帽子收...
分类:
其他好文 时间:
2014-06-03 11:24:17
阅读次数:
218
移动互联网App测试点包括:1、安全测试:
安全测试包括:a、软件是否存在扣费风险,比如发送短信,拨打电话,连接网络等。b、软件是否存在泄漏用户隐私的风险,比如访问手机信息,访问联系人信息等。2、安装、运行、卸载测试包括,App是否能正确的安装、运行、卸载,安装的位置和文件夹是否合理,还可以评估操作...
分类:
移动开发 时间:
2014-05-26 22:26:58
阅读次数:
407
不想做黑客的安全测试不是优秀的cybercop。怎么才能算是优秀的cybercop呢?那么就就必须学会或懂的黑客惯用一些手法与业内所流行的一些漏洞。加QQ群:1366117821、常见的几种攻击手段CC攻击XSS攻击CSRF攻击SQL注入攻击TCP全连接攻击框架重定向攻击惯性思维逻辑攻击WEB
Se...
分类:
其他好文 时间:
2014-05-26 21:03:10
阅读次数:
361
一,Session:含义:有始有终的一系列动作\消息1,隐含了“面向连接”和“保持状态”两种含义2,一种用来在客户端与服务器之间保持状态的解决方案3,也指这种解决方案的存储结构“把××保存在session里”二,http协议本来是无状态的,所以引进了cookie和session机制来保持连接状态co...
分类:
Web程序 时间:
2014-05-23 06:00:13
阅读次数:
326
Web安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击,
是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),
当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网...
分类:
Web程序 时间:
2014-05-17 20:20:05
阅读次数:
371
下面是自己总结的一些。1.判断是否有注入;and 1=1;and
1=22.初步判断是否是mssql;and user>03.判断数据库系统;and (select count(*) from
sysobjects)>0 mssql;and (select count(*) from msysobj...
分类:
其他好文 时间:
2014-05-08 23:25:38
阅读次数:
315
Proxmark3的MIFARE安全测试是很多朋友都非常重视的一部分,所以我们特地以这个部分进行介绍,告诉大家如何当你完成前期操作之后,进行MIFARE
CLassic卡类的安全测试操作。首先,我们要把高频天线连接到Proxmark3的天线接口。当我们连接完成之后,我们就需要查看一下天线与Proxm...
分类:
其他好文 时间:
2014-05-05 09:30:39
阅读次数:
563
