关于系统命令注入,可以参考这篇文章:命令攻击介绍 系统命令注入场景 在对企业进行安全测试时候,很少会发现系统注入漏洞。这是因为大部分情况下代码业务主要是数据操作、文件操作、逻辑处理和api接口调用等,很少直接使用系统命令。 那么,都会有什么情况会调用系统命令呢?这个真不一定,有时候需要靠猜靠运气,不 ...
分类:
其他好文 时间:
2019-11-01 13:01:14
阅读次数:
213
1、 App要测试什么,APP的测试点? 1) UI测试 2) 功能测试:(单个功能测试,流程测试)手动测试、自动化测试(appium) 3) APP性能测试: ? CPU(≤20%),内存(泄漏、溢出:多次关闭开启):emmagee,结果文件自动保存 ? 流量(首次启动、主流程、多资源访问:服务器 ...
分类:
移动开发 时间:
2019-10-29 22:08:23
阅读次数:
152
安全测试在于发现漏洞以及修复漏洞,常见漏洞在于系统、组件、代码,因此安全测试也分为以下三类: 1.端口扫描: 对系统、端口进行扫描,如常用tcp、udp端口,如80、5296、3306、8088....,举例软件rapid7,市面上也有其他厂家进行端口扫描。 2.静态扫描: 白盒,对项目代码进行扫描 ...
分类:
其他好文 时间:
2019-10-26 10:19:02
阅读次数:
132
app测试点:功能测试,安全测试,用户体验测试,交叉事件测试,兼容性测试,性能测试,安装/升级/卸载 ,UI测试 命令操作: adb connect 名 adb devices adb install (.apk) adb uninstall 包名 查看包名,获取操作的实时日志: adb logca ...
分类:
移动开发 时间:
2019-10-23 20:17:04
阅读次数:
112
一、安全测试 1.软件权限 1)扣费风险:包括短信、拨打电话、连接网络等。 2)隐私泄露风险:包括访问手机信息、访问联系人信息等。 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息功能 6)限制或使用本地连接 ...
分类:
移动开发 时间:
2019-10-22 18:13:53
阅读次数:
118
不夸张的说,网络安全行业里,WEB安全方向的人相对来说决定占大头,而web安全工程师又是其中不可缺少,想要成为一名成功的web安全工程师,首先要知道绝对的职位要求,话不多说,网上截两段。 1、熟悉常见Windows&linux、Web应用和数据库各种攻击手段; 2、熟悉网络安全测试方法、测试用例、漏 ...
分类:
其他好文 时间:
2019-10-18 15:52:59
阅读次数:
93
目标:让新人能够快速上手开发友好速搭定制插件1. 如何开发?1.1 开发规范编码规范命名接口名称:小驼峰,比如:/api/v1/user/verify/resetStep函数名称:小驼峰变量名称:小驼峰函数大小:越小越好,不超过20行。单元测试要求:API测试100%主要的service测试安全规范... ...
分类:
其他好文 时间:
2019-10-17 14:08:57
阅读次数:
83
Web安全测试检查点 上传功能 1.绕过文件上传检查功能 2.上传文件大小和次数限制 注册功能 1.注册请求是否安全传输 2.注册时密码复杂度是否后台检验 3.激活链接测试 4.重复注册 5.批量注册问题 登录功能 1.登录请求是否安全传输 2.会话固定:Session fixation attac ...
分类:
Web程序 时间:
2019-10-06 13:08:56
阅读次数:
549
在这次面谈中,杰夫·佩恩,卡福罗的首席执行官和创办者,谈及了关于软件安全。他讨论物联网和它如何关联到关键性安全的设备,一些有用的工具,测试者如何测试安全,以及设备如何更方便地推动在你生活圈内的流程。 詹妮弗·博宁:我们更多在虚拟采访中背对着。希望你总是能在将近2小时我们即将讨论到的经常的话题留着。杰 ...
分类:
其他好文 时间:
2019-09-14 15:50:55
阅读次数:
103
安全测试1_Web知识简介 接下去所有的安全测试都是本人学习安全测试的过程,随笔中会截取云课堂视频中的图片(比较生动和形象,便于理解),主要目的是方便自己以后复习和巩固! 1、Web发展阶段概述: 2、web安全我能提发展形势: 3、Web工作流程: 4、浏览器工作: 浏览器(通过域名访问)->DN ...
分类:
Web程序 时间:
2019-08-30 18:46:26
阅读次数:
92
