一、安全测试的目的: 为了尽可能的发现安全漏洞 二、安全测试的基本步骤: 收集信息—>熟悉环境—>梳理功能—>评估风险—>制定计划—>执行测试—>输出结果 1、如何熟悉环境:a. 测试在哪儿执行:浏览器还是APP b. 测试有没有前置条件:内部系统还是外部系统?是否需要特定账号才能使用 c. 系统特 ...
分类:
其他好文 时间:
2018-02-09 15:01:42
阅读次数:
188
一、什么是XSS攻击XSS即跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。xss攻击允许用户注入客户端脚本到其他用户的服务器上。通常通过存储恶意脚本到数据库,其他用户通过数据库获取恶意脚本,并在浏览器上呈现;或是使用户点击会引起攻击者javascirpt脚本在用户客户端的连接来达到目的。但是xss攻击可能发生在任意不可
分类:
其他好文 时间:
2018-02-05 17:09:19
阅读次数:
112
关于web安全测试,目前主要有以下几种攻击方法: 1.XSS 2.SQL注入 3.跨目录访问 4.缓冲区溢出 5.cookies修改 6.Htth方法篡改(包括隐藏字段修改和参数修改) 7.CSRF 8.CRLF 9.命令行注入 今天主要讲下SQL盲注。 一、SQL 盲注、发现数据库错误模式、跨站点 ...
分类:
数据库 时间:
2018-01-30 19:28:18
阅读次数:
265
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送 ...
分类:
其他好文 时间:
2018-01-18 01:01:53
阅读次数:
375
1 后端开发语言 ————> python/lua/php/java/go/ruby....(编程语言是表达思想的工具) 2 运维————> shell脚本,docker 3 安全 ————> 安全攻击方式(xss, csrf, sql注入) 代码实现能够规避常见的安全漏洞 4 数据库 ————> ...
分类:
其他好文 时间:
2018-01-17 20:16:26
阅读次数:
121
XSS攻击全称跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码(如HTML代码和客户端脚本)植入到提供给其它用户使用的页面中。要预防XSS攻击,就必须在处理客户端请求之前判断用户的输入是否合法,如果不合法就要拦截。在ASP.N ...
分类:
移动开发 时间:
2018-01-13 17:03:32
阅读次数:
578
WCDMA和GSM安全机制比较 GSM的缺陷分以下几点 首先,认证是单向的,只有网络对用户的认证、而没有用户对网络的认证、因此存在安全漏洞。非法设备可以伪装成合法的网络成瘾,欺骗用户,窃取用户信息。 其次,移动台和网络间的大多数信令是非常敏感的,需要得到完整性的保护。在GSM中,没有考虑数据完整性保 ...
分类:
其他好文 时间:
2018-01-10 17:05:08
阅读次数:
274
零、前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正 ...
分类:
Web程序 时间:
2018-01-09 18:42:43
阅读次数:
178
零、前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正 ...
分类:
Web程序 时间:
2018-01-09 14:45:15
阅读次数:
337
零、前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正 ...
分类:
Web程序 时间:
2018-01-07 23:34:30
阅读次数:
463
