随笔分类 - 安全测试
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 。
摘要:1、nmap 是一款开源的网络扫描和主机检测工具,可以用于发现计算机系统上运行的端口、服务以及操作系统等信息。通过 nmap 的扫描,系统管理员可以获得自己网络环境下的详细情况,包括哪些端口正在监听,哪些服务正在运行等信息,可以在保证网络安全和稳定的前提下优化网络配置,增强网络安全性。 2、nmap
阅读全文
摘要:参考连接:https://blog.csdn.net/u010013191/article/details/80733170
阅读全文
摘要:1、路径遍历漏洞是什么? ①为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。如果软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。 ②正常应用中的许多文件操作都发生在受限目录下。(首先目录代表) ③攻击者通过使用特殊元素(例如,“..”、“/”)可到达受限目录之
阅读全文
摘要:前言 ①越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。 ②该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用
阅读全文
摘要:博客链接:https://www.freebuf.com/sectool/164608.html
阅读全文
摘要:前言 什么是SQL注入?来看一下下面的案例场景,这是正常情况下的登陆场景: 而当我们使用用户名 ‘:– 的时候,密码随便输入也可以登陆成功! 这时候对比两条sql就能发现,其实用户通过在用户名写入的sql符号将内部sql提前结束,并且将后半句检索条件注释起来达到免密码登陆。 小结:SQL注入就是本来
阅读全文
摘要:前言 结合本篇博客理解:安全测试 web常规安全漏洞问题介绍和防范说明,如:SQL注入攻击、XSS跨站点脚本攻击(JS注入)、注释与异常信息泄露、跨站点请求伪造、路径遍历与强制浏览、越权访问类常见网络安全问题是什么? 引入新的内容:安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞
阅读全文
摘要:前言 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
阅读全文
摘要:安全测试的概念 ①安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。它一般是在产品开发基本完成到产品的发布阶段才会去做的一件事情,这是一个普遍现象;但其实安全应该提前到更早,在设计阶段就应该把安全考虑进去,在设计的时
阅读全文