本文转载!!!原文地址:http://www.4hou.com/technology/10367.html翻译来自:http://digitalforensicstips.com/2017/11/using-burp-suites-collaborator-to-find-the-true-ip-a... ...
分类:
其他好文 时间:
2018-03-07 23:54:47
阅读次数:
341
本教程主要讲述对接口的自动化测试,略过压力测试、安全测试。 最终目标是通过groovy脚本执行一个文件,发送多个任务请求。验证返回值是否符合期望。 教程从soapui入门到groovy实现回传参数、生成随机参数、加密隐私数据等,逐步深入,模拟最真实的项目测试场景。 (作者已在真实场景使用,不只是接口 ...
分类:
其他好文 时间:
2018-02-26 21:43:14
阅读次数:
154
在Web安全测试中,借助合适的工具,能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。 ...
分类:
Web程序 时间:
2018-02-24 21:58:57
阅读次数:
349
本文转自:https://blog.werner.wiki/sqlmap-study-notes-0/ 感谢作者的整理,如有侵权,立删 零、前言 这篇文章是我学习Sqlmap的用法时做的笔记,记录了Sqlmap的常见、基础用法。 学习的主要方法是阅读官方手册(sqlmap/doc/README.pd ...
分类:
数据库 时间:
2018-02-13 12:34:36
阅读次数:
697
十五、操作系统控制 1.执行任意操作系统命令 参数:--os-cmd和--os-shell 若数据库管理系统是MySQL、PostgreSQL或微软的SQL Server且当前用户有相关权限Sqlmap就能利用SQL注入执行任意的操作系统命令。 当数据库管理系统是MySQL或PostgreSQL时, ...
分类:
数据库 时间:
2018-02-13 12:29:16
阅读次数:
386
本文转自:https://www.secpulse.com/archives/4213.html 鉴于很多新手对sqlmap的用法不是很熟悉 很多常用sqlmap的也不一定完全会用sqlmap 特此补全sqlmap用户手册给大家查阅 sqlmap官网http://sqlmap.org github: ...
分类:
数据库 时间:
2018-02-13 12:28:30
阅读次数:
1126
十二、列举数据 这些参数用于列举出数据库管理系统信息、数据结构和数据内容。 1.一键列举全部数据 参数:--all 使用这一个参数就能列举所有可访问的数据。但不推荐使用,因为这会发送大量请求,把有用和无用的信息都列举出来。 2.列举数据库管理系统信息 参数:-b或--banner 大多数的现代数据库 ...
分类:
数据库 时间:
2018-02-13 12:27:27
阅读次数:
225
六、优化 这些参数可以优化Sqlmap的性能。 1.一键优化 参数:-o 添加此参数相当于同时添加下列三个优化参数: --keep-alive --null-connection --threads=3 (如果没有设置一个更好的值) 这些参数具体含义见后文。 2.HTTP长连接 参数:--keep- ...
分类:
数据库 时间:
2018-02-13 12:25:00
阅读次数:
174
十八、杂项 1.使用简写 参数:-z 有些参数组合是被经常用到的,如“--batch --random-agent --ignore-proxy --technique=BEU”,这样写一大串很不好看,在Sqlmap中,提供了一种简写的方式来缩短命令长度。 利用参数“-z”,每个参数都可以只写前几个 ...
分类:
数据库 时间:
2018-02-13 12:24:43
阅读次数:
1478
一、安全测试的目的: 为了尽可能的发现安全漏洞 二、安全测试的基本步骤: 收集信息—>熟悉环境—>梳理功能—>评估风险—>制定计划—>执行测试—>输出结果 1、如何熟悉环境:a. 测试在哪儿执行:浏览器还是APP b. 测试有没有前置条件:内部系统还是外部系统?是否需要特定账号才能使用 c. 系统特 ...
分类:
其他好文 时间:
2018-02-09 15:01:42
阅读次数:
188
