随笔分类 - 安全测试系列
主要从三个维度-学习-进阶
1)接口安全漏洞扫描、注入测试
2)客户端安全测试
3)移动端app隐私合规测试
摘要:1 业务数据安全 概述:商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段,以判断服务器是否存在商品订购数量篡改漏洞。手段:将请求中的商品数量修改成任意非预期数额、负数等进行提交,查看业务系统能否以修改后的数量完成业务流程。目的:该项测试主要针对商品订购的过程中,服务器对异常交易数据处理缺
阅读全文
摘要:一、linux提前安装好docker 二、安装过程 一键安装 docker pull citizenstig/nowasp 端口映射 docker run -d -p 9009:80 citizenstig/nowasp 最后浏览器访问即可(你的IP) http://IP地址:9009/index.
阅读全文
摘要:一、描述 顾名思义,文件上传就是利用服务器对上传文件时存在的漏洞来实现上传任意文件,通过自己编写的文件内容让服务器执行文件内容达到可控的目的,但文件的上传往往回有各种各样的过滤,以下将演示upload-labs的关卡: 二、关卡 1、pass-01 尝试把webshell传入到服务器,发现服务器对文
阅读全文
