三石兄

摘要： Rational AppScan 工作原理 Rational AppScan(简称 AppScan)其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安装在 Windows操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫. 阅读全文

摘要： 建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1、输入验证客户端验证 服务器端验证(禁用脚本调试，禁用Cookies)1.输入很大的数（如4,294,967,269），输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&*()_+:”{}|4.输入中英文空格，输入字符串中间含空格，输入首尾空格5.输入特殊字符串NULL,null，0x0d 0x0a6.输入正常字符串 7.输入与要求不同类型的字符，如: 要求输入数字则检查正值,负值,零值（正零，负零）,小数 阅读全文

摘要： 常用渗透性测试工具原文：http://hi.baidu.com/limpid/item/14a2df166adfa8cb38cb3068对一个应用项目进行渗透性测试一般要经过三个步骤。 第一步，用一些侦测工具进行踩点，获得目标的基本信息。 第二步通过漏洞扫描工具这类自动化测试工具获取目标的漏洞列表，从而缩小测试的范围。 第三步利用一些灵活的代理，请求伪造和重放工具，根据测试人员的经验和技术去验证或发现应用的漏洞。在此过程中需要利用一些工具，这些工具包括： 1、Metasploit：开源的，2004年发展起来的一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它是一个高级的开源 阅读全文

摘要： XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理，攻击场景，如何修复。 才能有效的防止XSS的发生。阅读目录XSS 是如何发生的HTML EncodeXSS 攻击场景XSS漏洞的修复如何测试XSS漏洞HTML Encode 和URL Encode的区别浏览器中的XSS过滤器ASP.NET中的XSS安全机制XSS 是如何 阅读全文

摘要： 一：沉稳（1）不要随便显露你的情绪。（2）不要逢人就诉说你的困难和遭遇。（3）在征询别人的意见之前，自己先思考，但不要先讲。（4）不要一有机会就唠叨你的不满。（5）重要的决定尽量有别人商量，最好隔一天再发布。（6）讲话不要有任何的慌张，走路也是。二：细心（1）对身边发生的事情，常思考它们的因果关系。（2）对做不到位的执行问题，要发掘它们的根本症结。（3）对习以为常的做事方法，要有改进或优化的建议。（4）做什么事情都要养成有条不紊和井然有序的习惯。（5）经常去找几个别人看不出来的毛病或弊端。（6）自己要随时随地对有所不足的地方补位。三：胆识（1）不要常用缺乏自信的词句。（2）不要常常反悔，轻易推 阅读全文

摘要： 本以为linux下安装apache是件很简单的过程。三命令就可以搞定，jxvf解压，make 编译，make install 安装就OK了。没想到这个过程还颇费周折。可能和环境有关吧。先说一下我的环境。linux : cenos5.5 （验证4.8也会碰到以下问题）apache: httpd-2.4.1.tar.bz2[root@localhostapache]#tarjxvfhttpd-2.4.1.tar.bz2 //解压apache的压缩包[root@localhostapache]#cdhttpd-2.4.1 //定位到httpd-2.4.1文件夹下[root@localho... 阅读全文

摘要： Oracle11g完全卸载步骤：1、 开始－＞设置－＞控制面板－＞管理工具－＞服务 停止所有Oracle服务。2、 开始－＞程序－＞Oracle - OraHome81－＞Oracle Installation Products－＞ Universal Installer，单击“卸载产品”-“全部展开”，选中除“OraDb11g_home1”外的全部目录，删除。5、 运行regedit，选择HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE，按del键删除这个入口。6、 运行regedit，选择HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS 阅读全文

摘要： 卸载mysql1、查找以前是否装有mysql命令：rpm -qa|grep -i mysql可以看到mysql的两个包：mysql-4.1.12-3.RHEL4.1mysqlclient10-3.23.58-4.RHEL4.12、删除mysql删除命令：rpm -e --nodeps 包名( rpm -ev mysql-4.1.12-3.RHEL4.1 )3、删除老版本mysql的开发头文件和库命令：rm -fr /usr/lib/mysqlrm -fr /usr/include/mysql注意：卸载后/var/lib/mysql中的数据及/etc/my.cnf不会删除，如果确定没用后就手工删 阅读全文

摘要： 1.编译安装 > groupadd mysql #创建mysql组 > useradd -g mysql mysql #创建用户mysql并添加到mysql组中，这个用户主要是作为mysql服务运行的用户 > tar -xzf mysql-5.1.56.tar.gz #解压缩 > cd mysql-5.1.56 #进入Mysql目录 > ./configure --prefix=/opt/mysql #指定安装路径及目录 > make #编译源代码 > make install #安装 > cp support-fi... 阅读全文

摘要： 一、安装Mysql 1、下载MySQL的安装文件 安装MySQL需要下面两个文件： MySQL-server-4.0.16-0.i386.rpm MySQL-client-4.0.16-0.i386.rpm 下载地址为：http://www.mysql.com/downloads/mysql-4.0.html， 打开此网页，下拉网页找到“Linux x86 RPM downloads”项，找到“Server”和“Client programs”项，下载需要的上述两个rpm文件。 2、安装MySQL rpm文件是Red Hat公司开发的软件安装包，rpm可让Linux在安装软... 阅读全文