1 Web安全介绍1 2 SQL注入、盲注1 2.1 SQL注入、盲注概述 1 2.2 安全风险及原因 2 2.3 AppScan扫描建议 2 2.4 应用程序解决方案 4 3 会话标识未更新7 3.1 会话标识未更新概述 7 3.2 安全风险及原因分析 7 3.3 AppScan扫描建议 8 3. ...
分类:
编程语言 时间:
2017-10-28 13:54:05
阅读次数:
1473
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。 其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧,所以拿来与大家分享。 因为产品比较大,功能模块也非常之多,我们不可能对整个产品进行扫描。再一个每个测试员负责测试的模块不同。我们只需 ...
分类:
移动开发 时间:
2017-10-24 19:29:03
阅读次数:
178
毕业已经一年多了,这一年多,一直都对安全方面的知识感兴趣。但是感觉网上资料真的很少,也瞎折腾过不少工具(AppScan、BurpSuite、Sqlmap、nmap等),却感觉与印象中的“安全测试”相差甚远,觉得自己一直徘徊在这扇门的前面而不得入,身边的朋友做安全这方面的几乎没有。以下是一些瞎整理的东 ...
分类:
其他好文 时间:
2017-10-11 23:50:43
阅读次数:
168
一、安装 1、右键安装文件,以管理员身份运行,如下图所示: 2、点击【确定】 3、点击【安装】 4、选择:我接受许可协议中单位全部条款,点击【下一步】 5、点击【安装】到该目录 6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装 7、点击 ...
分类:
移动开发 时间:
2017-09-21 22:24:34
阅读次数:
322
用到shodan模块 话不多说,马上开始 pip3 install shodan import shodan SHODAN_API_KEY=" 你的shodankey" api = shodan.Shodan(SHODAN_API_KEY) try: results=api.search("3389 ...
分类:
编程语言 时间:
2017-08-16 17:15:17
阅读次数:
119
今天测试用IBM的AppScan,对系统进行测试,发现了系统的安全漏洞,分别是SQL盲注和跨站脚本攻击,这两种安全隐患都是利用参数传递的漏洞趁机对系统进行攻击。截图如下: 解决方案(参考网上的例子):自己写一个 Filter,使用 Filter 来过滤浏览器发出的请求。对每个 post 请求的参数过 ...
分类:
数据库 时间:
2017-08-10 14:15:35
阅读次数:
1664
appscan只要关注应用层的安全问题一,appscan扫描1,白盒扫描=静态扫描,扫描源代码。2,动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当我们把一个模拟攻击发给我们的应用的时候,然后用工具来分析响应。二,AppScan Web应用扫描流程 三,自 ...
分类:
移动开发 时间:
2017-07-28 11:43:22
阅读次数:
264
1、功能上,sqlmap具备对burpsuite拦截的request日志进行批量扫描的能力 python sqlmap.py -l hermes.log --batch -v 3 --batch:会自动选择yes -l : 指定日志文件 -v: 调试信息等级,3级的话,可以看大注入的payload信 ...
分类:
数据库 时间:
2017-07-11 23:14:51
阅读次数:
344
参考文章: http://www.freebuf.com/sectool/134657.htmlhttp://scz.617.cn/windows/201706221521.txthttp://scz.617.cn/windows/201707031558.txt ...
分类:
其他好文 时间:
2017-07-11 17:47:15
阅读次数:
1847
一、打开AppScan,选择外部设备/客户机,点击下一步 二、记录代理设置,可以手动输入需要的端口号,也可以自动选择,记住端口号以及PC电脑的ip地址,手机端如何设置对应的端口跟ip可以参考 Jmeter(十三)用Jmeter自带录制工具代理录制手机端应用脚本APP脚本,原理是一样的 三、SSL证书 ...
分类:
微信 时间:
2017-07-06 12:12:23
阅读次数:
1349
