问题严重级别:高
此类问题在做政府项目(第三方软件评测中心)验收的时,需要立即整改,如下图:...
分类:
移动开发 时间:
2015-07-24 13:04:29
阅读次数:
195
Web安全测试也应该遵循尽早测试的原则,在进行功能测试的时候(就应该执行下面的测试Checklist安全测试场景),然后在功能测试完成之后、性能测试之前进行扫描测试,可以用工具AppScan,HpWebinspect,AWS等漏洞扫描工具进行扫描。第一步:比较常用的安全测试Checklist如下:1:..
分类:
Web程序 时间:
2015-07-01 18:50:04
阅读次数:
195
1. SQL注入文件写入(需要用户验证)解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。建议过滤出...
分类:
移动开发 时间:
2015-06-29 16:28:39
阅读次数:
200
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于...
分类:
移动开发 时间:
2015-06-18 13:08:25
阅读次数:
163
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。------------------------------------------------------------------------ 其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一....
分类:
移动开发 时间:
2015-06-18 13:05:10
阅读次数:
161
Linux下有很多强大网络扫描工具,网络扫描工具可以分为:主机扫描、主机服务扫描、路由扫描等。fping是一个主机扫描工具,相比于ping工具可以批量扫描主机。fping官方网站:http://fping.org/fping的源代码编译安装访问fping的官方网站,获取源代码地址:编译及安装命令:w...
分类:
系统相关 时间:
2015-06-03 17:19:52
阅读次数:
272
最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中此篇文章是关于会话标识未更新问题的。下面就把这块东西分享出来。原创文章,转载请注明-----------------------------------------正题-------------------------测...
分类:
移动开发 时间:
2015-06-01 16:24:51
阅读次数:
771
最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的。下面就把这块东西分享出来。原创文章,转载请注明-----------------------------------------正题-------------------------测试...
分类:
移动开发 时间:
2015-06-01 16:15:09
阅读次数:
762
最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中此篇文章是关于链接注入问题的。下面就把这块东西分享出来。原创文章,转载请注明-----------------------------------------正题-------------------------测试类型...
分类:
移动开发 时间:
2015-06-01 16:07:04
阅读次数:
2989
