最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”。扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议,我做了如下修改:将password控件修改为textbox控件。使用js替换输入的内...
分类:
移动开发 时间:
2015-09-24 10:56:38
阅读次数:
308
分析工具:抓包工具:Wireshark(最常用)、httpwatch、tcpdumpBurp Suite:常用的http分析工具,有很邪恶的用法;Fiddler:主要监视http和https,用得不多;漏洞扫描工具:appscan:业内最常用的一个工具,资料很多 http://www.cnblogs...
分类:
其他好文 时间:
2015-09-21 13:43:18
阅读次数:
167
Appscan是做安全性测试的一款工具,网上资料比较少,项目需要做安全性测试,用它做了web的扫描,可以发现一些问题,并且有原因分析和修复建议,感觉还不错,现在演示下它的使用; 1、打开工具,点击【文件】下的【新建】,来打开新建扫描页面 2、一般我们选择【常规扫描】,当然也可以根据需要来定义写模板,...
分类:
移动开发 时间:
2015-09-21 00:05:00
阅读次数:
380
问题严重级别:高
此类问题在做政府项目(第三方软件评测中心)验收的时,需要立即整改,如下图:...
分类:
移动开发 时间:
2015-07-24 13:04:29
阅读次数:
195
Web安全测试也应该遵循尽早测试的原则,在进行功能测试的时候(就应该执行下面的测试Checklist安全测试场景),然后在功能测试完成之后、性能测试之前进行扫描测试,可以用工具AppScan,HpWebinspect,AWS等漏洞扫描工具进行扫描。第一步:比较常用的安全测试Checklist如下:1:..
分类:
Web程序 时间:
2015-07-01 18:50:04
阅读次数:
195
1. SQL注入文件写入(需要用户验证)解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。建议过滤出...
分类:
移动开发 时间:
2015-06-29 16:28:39
阅读次数:
200
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于...
分类:
移动开发 时间:
2015-06-18 13:08:25
阅读次数:
163
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。------------------------------------------------------------------------ 其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一....
分类:
移动开发 时间:
2015-06-18 13:05:10
阅读次数:
161
