文章分类 - 安全测试
摘要:使用 AppScan 进行扫描 针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan)、执行(Do)、检查(check)、分析(Analysis and Action)。 在计划阶段:明确目的,进行策略性的选择和任务分解。 明确目的:
阅读全文
摘要:1.新建扫描:一般选择 常规扫描 2.选择扫描的平台:web或app 3.扫描配置向导 ①配置URL和服务器 ②配置登录管理 在扫描的过程中,可能会不小心碰到退出按钮导致Appscan注销.因此,要登陆到应用程序中,我们需要根据需求设置。 在测试的web没有验证码情况下,可以使用(1和3种登陆方法)
阅读全文
摘要:IBM AppScan是一款目前最好用的Web 应用安全测试工具,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓
阅读全文
摘要:一、什么是SQL注入 所谓注入,就是指非预期的字符输入到语言中,被各种语言进行了误读,造成了错误。用户可以操纵输入字符串获取原本无法获取的权限。 所谓sql注入,就是指非预期字符插入到sql语言中,造成了数据的泄露甚至系统权限的丧失。 二、什么是盲注 从是否回显错误消息角度,SQL注入分为显错注入和
阅读全文
摘要:1.安全测试在做什么?扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏
阅读全文
摘要:什么是获取元数据标头?获取元数据标头是一种相对较新的浏览器安全功能,您可以在 Web 应用程序中使用它来防止前所未有的客户端攻击。 标题的目的很简单。它们告诉 Web 服务器发生 HTTP 请求的上下文。 一个例子这是吉姆。b.example他使用 cookie登录SessionId=123。 假设
阅读全文
摘要:1. Nishang 如果喜欢用PowerShell,那么可以试试Nishang。Nishang是有效负载与脚本的结合,可以用PowerShell来进行渗透式、攻击性安全、以及红队测试。测试人员可以在当前渗透测试的各个阶段使用到该工具。 2. Taipan Taipan是自动化的Web应用类漏洞扫描
阅读全文
摘要:SRC众测平台国际漏洞提交平台 https://www.hackerone.com/BugX区块链漏洞平台 http://www.bugx.org/Gsrc瓜子src https://security.guazi.com/区块链安全响应中心 https://dvpnet.io/CNVD国家信息安全漏
阅读全文
摘要:渗透测试渗透测试就是利用我们所掌握的渗透知识,对网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵! 渗透测试的前提是我们得经过用户的授权,才可以对网站进行渗透。如果我们没有经过客户的授权而
阅读全文
摘要:https://mp.weixin.qq.com/s?__biz=MjM5OTI2MTQ3OA==&mid=2652179990&idx=1&sn=650119993bf76ac2a47736c22f5310f8&chksm=bcdf8a5f8ba803490fdbe6d01d1947a57cbc6
阅读全文
