摘要:
一、选用的版本 sonar-scanner-4.6.2.2472 sonarqube-9.2.4.50792 mysql5.6 下载地址: https://dev.mysql.com/downloads/mysql/ sonarqube的文档地址:https://docs.sonarqube.org 阅读全文
随笔分类 - 安全测试
【安全测试】移动端安全测试MobFS工具
2022-09-27 16:20 by 码上起舞, 2648 阅读, 收藏, 编辑
摘要:
APP安全测试工具介绍: MobSF(Mobile Security Framework) 是一款自动化移动 App 安全测试框架,适用于 iOS 和 Android,可熟练执行动态、静态分析和 Web API 测试。 移动安全框架可用于对 Android 和 iOS 应用进行快速安全分析。MobS 阅读全文
【安全测试】【sqlmap】sqlmap快速入门
2022-09-27 15:58 by 码上起舞, 379 阅读, 收藏, 编辑
摘要:
一、目的 本文主要介绍如何用sqlmap来测试某个接口是否有sql注入的风险,以及查看对应的注入的payload。 sqlmap支持-u指定接口的url信息,也支持-r 来解析文件中的请求信息。本文主要介绍-r的方式。其他的sqlmap的命令行模式,见sqlmap命令行参数详解。 二、准备接口报文 阅读全文
【Devops】【测试左移】jacoco代码覆盖率统计的几个脚本
2022-09-27 15:47 by 码上起舞, 220 阅读, 收藏, 编辑
摘要:
背景、代码覆盖率统计,本来有更简单的方式,在mvn或者pom中加插件即可,but,历史代码历史工程太多,直接改pom需要工作量较大,要无感知集成代码覆盖率检查,故整理了这几个脚本来结合jenkins工程使用一、在测试服务器部署路径下注入jacocoinsert.sh是用于将jacoco.sh中的内容 阅读全文
【Devops】【Jenkins】jenkins API获取工程构建结果SUCCESS/FAIL
2022-09-27 14:32 by 码上起舞, 684 阅读, 收藏, 编辑
摘要:
一、速览 核心原理: API调用命令行如下 cmd = "curl --user username:pwd http://xx.xx.xx.xx:8080/job/{}/job/{}/{}/api/json".format(jobname1, jobname2,jobnum) ps:这里的job后面 阅读全文
【安全测试】OWASP dependency check命令行使用过程中的问题
2022-09-27 10:43 by 码上起舞, 3345 阅读, 收藏, 编辑
摘要:
owasp 需要的外网访问权限包括:https://nvd.nist.govhttps://search.maven.org/https://ossindex.sonatype.org/https://retirejs.github.iohttps://github.com/advisoriesht 阅读全文
【安全测试】nmap安装
2022-09-27 09:46 by 码上起舞, 207 阅读, 收藏, 编辑
摘要:
1.下载安装软件 2.双击exe执行安装,下一步傻瓜式安装即可 3.安装完成后在启动栏搜索zenmap GUI即可进入图形化界面进行扫描 也可以进入cmd,输入nmap命令行进行扫描 Troubleshooting 问题1:在linux环境生成的.xml报告在本地无法打开解决办法:1.本地nmap扫 阅读全文
【安全测试】nmap使用手册
2022-09-27 09:41 by 码上起舞, 269 阅读, 收藏, 编辑
摘要:
端口扫描安全测试步骤: 1.登录服务器:10.82.x.x(找运维申请权限) 2.输入nmap 查看是否可用 3.跳转执行下面2.3生成报告中的命令即可 一、windows使用 在启动栏搜索zenmap GUI即可进入图形化界面进行扫描 也可以进入cmd,输入nmap命令行进行扫描 二、cmd 命令 阅读全文
【安全测试】nmap培训
2022-09-26 17:40 by 码上起舞, 381 阅读, 收藏, 编辑
摘要:
nmap官网地址:https://nmap.org/ nmap扫描脚本:https://nmap.org/nsedoc/ 一、nmap是什么? Nmap,也就是Network Mapper,是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。 确定哪些服务运行在哪些连接端,并且推断计算机运行 阅读全文
【安全测试】fortify分享培训资料
2022-09-26 17:18 by 码上起舞, 669 阅读, 收藏, 编辑
摘要:
一、安全测试类型介绍 二、安全测试工具介绍 11 测试软件 面向测试场景 AWVS 适用于系统漏洞扫描 nessus 适用于系统和数据库漏洞扫描,包括但不限于:主机、网络设备扫描 appscan 适用于网站等WEB应用进行自动化的应用安全扫描和测试 burpsuite 适用于WEB应用程序的集成攻击 阅读全文
【安全测试】【fortify】fortify的命令行使用
2022-09-26 16:39 by 码上起舞, 1436 阅读, 收藏, 编辑
摘要:
扫描代码路径为D:\workspace 1、打开命令提示符 2、清除上一次扫描的缓存 #sourceanalyzer -b SCG-AuthCenter -clean #sourceanalyzer -b DMC -clean 3、扫描、编译源码 #sourceanalyzer -encoding 阅读全文
【安全测试】【源码审计】fortify快速入门
2022-09-26 16:36 by 码上起舞, 782 阅读, 收藏, 编辑
摘要:
一、fortify扫描java代码 1.点击Advance Scan,选择java代码的文件夹 2.选择文件输出路径,确定路径具有访问权限(有些c盘无法访问) 可以选择快速扫描模式,也可以不勾选快速扫描模式 点击Next 3.非javeEE项目,这里选No 点击scan,开始进行扫描 4.等待扫描完 阅读全文
【安全测试】【fortify】fortify设置中文语言
2022-09-26 16:25 by 码上起舞, 4150 阅读, 收藏, 编辑
摘要:
一、目的 将fortify默认的英文语言设置为中文语言,方便安全测试报告的阅读和安全问题的解决。 二、步骤 2.1 运行scapostinstall.cmd 进入fortify安装目录下bin,双击scapostinstall.cmd 2.2 设置中文语言: 如图所示输入对应的字符,设置语言为中文z 阅读全文
【安全测试】【fortify】【源码审计】windows下源码审计fortify安装及使用
2022-09-26 16:23 by 码上起舞, 717 阅读, 收藏, 编辑
摘要:
一、fortify安装(非商用,仅学习使用) 1.解压安装包 2.双击exe文件进行安装,下一步即可,直至完成 3.exe安装完成后,将下图三个文件拷贝到安装目录下的Core\config下替换 替换到如下安装目录 4.将fortify-common-20.1.1.0007.jar替换到安装目录D: 阅读全文
【安全测试-fortify源码扫描】linux下的fortify源码扫描
2022-09-21 16:21 by 码上起舞, 5231 阅读, 收藏, 编辑
摘要:
一、准备好安装压缩包和license文件,上传到linux服务器下 上传完成后,开始后续安装步骤。 二、解压gz安装包 #tar -zxvf Fortify_SCA_and_Apps_20.1.0_Linux.tar.gz #解压后,文件夹如下:(license文件,rules.zip是单独拷贝进去 阅读全文
【安全测试】SQLmap的使用及jenkins集成
2022-04-25 14:16 by 码上起舞, 555 阅读, 收藏, 编辑
摘要:
一、目的 本文主要介绍如何用sqlmap来测试某个接口是否有sql注入的风险,以及查看对应的注入的payload。 sqlmap支持-u指定接口的url信息,也支持-r 来解析文件中的请求信息。本文主要介绍-r的方式。 其他的sqlmap的命令行模式,见sqlmap命令行参数详解。 二、准备接口报文 阅读全文
【安全测试】DVWA靶场搭建
2022-04-13 17:20 by 码上起舞, 1718 阅读, 收藏, 编辑
摘要:
一、目的 本文主要记录在DVWA靶场搭建过程中的步骤和总结问题 二、环境准备 基本框架:PHPstudy + DVWA + linux 我的本地windows系统安装后,phpstudy的apache服务一直不停的重启,无法使用,所以我选择vbox里面的linux虚拟机上搭建这个靶场 虚拟机ip:1 阅读全文
