摘要:DockerBench是一个开源项目,该项目按照互联网安全中心(CenterforInternetSecurity,CIS)对于Docker1.13.0+的安全规范进行一系列环境检查,可发现当前Docker部署在配置、安全等方面的潜在问题。 CISDocker规范在主机配置、Docker引...
我是一个实用主义者,所以我写的代码从来都是为了实战效果。下面有一些废话,大家不想看可以跳过直接拖到下面看动画演示。 近期的疫情对我而言并不算太坏,客户说“你别来,来了也进不来”,这也给我留了几周宝贵的时间去完善我心中好的网络安全工具...
什么是安全测试 安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。 安...
概念介绍 1. 渗透测试的概念 1.1 渗透测试技术的核心思想 渗透测试(Penetration Test)技术的核心思想是模仿黑客的特定攻击行为,也就是尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标的安全性做深入的探测,发现系统最脆弱环节的...
安全测试(渗透测试)可以让企业了解现有网络安全措施的成效或不足,进而帮助其调整安全项目,并主动发现漏洞。但是,安全测试是一项工作量很大的工作,测试团队需要在较短时间内快速完成以下任务: · 侦察并分析组织网络所使用的网络协议,以...
pypcap是一个对libpcapC库进行封装和简化的面向对象的抓包工具库,可以非常方便的用于抓包和过滤,结合dpkt解析库可以完成许多网络数据包的抓取和分析。本文讲述的就是如何使用pypcap及dpkt库实现简单抓包工具,也称为嗅探器(sniffer). Linux 端安装...
1. 概论 如果你抓过 TCP 的包,你一定听说过图形化界面软件 wireshark,tcpdump 则是一个命令行的网络流量分析工具,功能非常强大。尤其是做后台开发的同学要在服务器上定位一些黑盒的应用,tcpdump 是唯一的选择。这篇文章会重点介绍基本使用、过滤...
软件的安全是开发人员、测试人员、企业以及用户共同关心的话题,尤其是软件产品的使用者,因为系统中承载着用户的个人信息、人际互动、管理权限等各类隐私海量关键数据。软件安全测试工作不仅是为了用户,更牵扯到许多的利益共同体。因此软件安全测试必...
现在的网站基本都是 https 的,而 charles 是常用的 http 抓包工具,所以用 charles 调试 https 请求是常见的需求。 今天就分享下如何用 charles 调试 https 请求,如何打断点。 首先安装 charles,点击 start recording: 浏览器访问一些页面...
关于iOSRestrictionBruteForce iOSRestrictionBruteForce是一款针对iOS限制密码的安全测试工具,在该工具的帮助下,广大用户或安全研究人员可以通过对iOS设备的限制密码执行渗透测试的方式来判断设备的安全性。 当前版本的iOSRestrictionBruteFo...
1. 概念 混杂模式: 混杂模式就是接受所有经过网卡的数据包,包括不是发送给本机的包,也就是不验证MAC地址。 普通模式 :网卡只接受本机的包传递给上层协议,其他的包一律丢失。 2. 如何切换混杂模式和普通模式 3. Wireshark过滤器的使用...
一、测试中常见的问题 1、只需要验证一个简单的前端展示效果,但造数困难 2、前端改一个问题改了n次,每次都需要不断的造数、验证 3、视觉验收反反复复,需要一直配合造数 4、依赖接口不可用,导致测试阻塞 5、服务端bug未修复,影响前...
1、Wireshark 介绍 Wireshark 是一个功能十分强大的开源的网络数据包分析器,可实时从网络接口捕获数据包中的数据。它尽可能详细地显示捕获的数据以供用户检查它们的内容,并支持多协议的网络数据包解析。 Wireshark 适用于 Windows 和 UNIX 操作...
关于SNMPwn SNMPwn是一款功能强大的SNMPv3用户枚举与安全测试工具,该工具是一款合法的安全工具,可以帮助广大安全研究专家和渗透测试人员针对有权限的主机来进行安全分析与测试。该工具利用了SNMPv3系统在SNMP用户不存在时会以“未知用户名”进行响...
正确的应用程序安全测试工具可以改善企业安全态势和开发工作流程。如今,应用程序安全从一开始就内置在整个软件生命周期中,即使是具有成熟开发实践的组织也需要自动化工具来在复杂、快速变化的环境中成功地保护他们的软件。以下比较了三个广泛使用的应...
关于Enumdb Enumdb是一款针对MySQL和MSSQL关系型数据库的安全渗透后利用工具,该工具主要针对关系型数据库设计,并支持暴力破解和后利用渗透测试。广大研究人员可以提供一个用户名或密码列表,该工具将会在每个主机中寻找能够匹配的有效凭证。默认配...
前情提要 虽然没有Android平台那么多的攻击面和利用姿势,iOS应用依然有安全审计的需求。移动平台的安全目前采用的策略基本上都是扫描器加上一部分人工的逆向和动态分析。 针对iOS应用攻击面分析,目前笔者了解或使用过的相关工具如下(除去逆向...
关于KRIe KRIe是一款功能强大的带有eBPF的Linux内核运行时安全检测工具,该工具旨在利用eBPF的功能来检测Linux内核中的安全问题。KRle远远不止是一种防御策略那么简单,该项目的主要目标是增加攻击者的攻击难度,并防止那些开箱即用的漏洞利用策略直...
本文将讨论什么是渗透测试?为什么需要进行渗透测试?以及如何安全有效地进行测试。还将提供渗透测试方法的清单,以便确保充分利用渗透测试过程。 什么是渗透测试? 渗透测试(Pentesting)是一种通过模拟外部恶意人员或黑客的攻击来评估计算机系统安...
一、阐述常见的Web安全测试有几种类型? 需要考虑的情形: (1)数据加密。某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登录密码、信用卡信...
