CICD 代码审计 2019/09/04 Chenxin 需求说明 要实现的预期目标是什么?(安全,高效,规范?) 规范 后期考虑安全. 漏洞原理 参考 https://blog.csdn.net/wangzhida2008/article/details/75253369 常见web漏洞原理分析 ...
分类:
其他好文 时间:
2020-04-21 15:25:11
阅读次数:
80
结合自己工作总结web测试的一些要点,直接上干货 web测试内容 1.功能测试 2.界面/易用性测试 3.兼容性测试 4.接口测试 5.安全测试 6.性能测试 重点介绍功能测试,包括下面几个方面 1.链接测试,主要关注有3点:所有链接是否链接到该链接的页面;页面是否存在;不存在孤立的页面。 2.表单 ...
分类:
Web程序 时间:
2020-04-11 00:32:46
阅读次数:
94
SQL Injection攻击流程 1.找到注入点,可以用web漏洞扫描工具自动找或者自己输入payload进行查找 2.通过注入点输入payload爆出信息,比如版本操作系统,表列字段的值 3.获取操作系统权限,通过数据库执行shell上传木马。 数字型注入post 因为是post,所以不会在UR ...
分类:
数据库 时间:
2020-03-31 21:07:57
阅读次数:
76
常用的一些web目录扫描工具 0X00目录扫描工具的作用 网站目录和敏感文件扫描是网站测试中最基本的手段之一。如果通过该方法发现了网站后台,可以尝试暴库、SQL注入等方式进行安全测试;如果发现敏感目录或敏感文件,能帮我们获取如php环境变量、robots.txt、网站指纹等信息;如果扫描出了一些上传 ...
分类:
Web程序 时间:
2020-03-29 11:13:38
阅读次数:
650
[TOC] 简介 ESLint是一个用来识别 ECMAScript 并且按照规则给出报告的代码检测工具,使用它可以避免低级错误和统一代码的风格。如果每次在代码提交之前都进行一次eslint代码检查,就不会因为某个字段未定义为undefined或null这样的错误而导致服务崩溃,可以有效的控制项目代码 ...
分类:
Web程序 时间:
2020-03-28 13:50:03
阅读次数:
117
nmap下载与安装 这个没什么好说的。很简单官网上下载就ok了,需要注意的是winPcap可能会和nmap自带的Npcap有冲突,这里我下载的版本是Nmap 7.80。它甚至给我们提供了一个GUI界面(虽然bug很多) nmap的基本指令 打开nmap的GUI,发现它会给你一个默认的指令 ,这也是平 ...
分类:
其他好文 时间:
2020-03-26 19:25:57
阅读次数:
194
OpenSSL Heartbleed漏洞的公开和流行让许多人兴奋了一把,也让另一些人惊慌了一把。 单纯从攻击的角度讲,我已知道的,网上公开的扫描工具有: 1. Nmap脚本ssl-heartbleed.nse: http://nmap.org/nsedoc/scripts/ssl-heartblee ...
分类:
其他好文 时间:
2020-03-06 13:42:48
阅读次数:
93
概念 NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工具包。 其基本功能有三个: (1)是扫描主机端口,嗅探所提供的网络服务 (2)是探测一组主机是否在线 (3)还可以推断主机所用的操作系统,到达主机经过的路由,系统已开放端口的软件版本 nmap基本参数及使用 TCP ...
分类:
其他好文 时间:
2020-02-03 12:06:28
阅读次数:
115
OpenVAS (Open Vunnerablity Assessment System)开放的漏洞评估系统,一个用于评估目标漏洞的杰出框架,开源且功能十分强大; 它于著名的Nessus“本是同根生”,在Nessus商业化后,仍然坚持开源;号称当前最好用的开源目标漏洞扫描工具; 主要用途是来检测目标 ...
分类:
Web程序 时间:
2020-01-22 18:19:41
阅读次数:
156
部署服务突然发现,连接的服务器断开了,因为服务器用户名密码是一样的,所以重新连接后,发现文件变了,跟之前不一样。 猜想是不是ip地址冲突了,两次连接的服务器不同。 网上查找资料说可以用工具扫描。工具:arp-scan。 服务器:Centos 7.X 工具:arp-scan:1.9.2 服务器上直接 ...
分类:
系统相关 时间:
2020-01-11 13:06:39
阅读次数:
100
