在本文中,我们将证明,有时传统方法并不完全适用。如果SAP测试人员知道SAP存在许多漏洞,并从Internet上下载了免费工具,他们并不能入侵系统,因为一些公司已经应用了最新的补丁,并且他们至少不存在一些最常见的问题(例如,网关绕过、动词篡改、或默...
最近我和小伙伴们都爱上了小游戏“跳一跳”,不过我在玩的时候却突然从它联想到了渗透攻击与测试。在此,我将来探究一下它们之间的“联系”。 现如今,各类初创型公司都在迅速迭代和发展之中。对于支撑业务的 IT 系统,信息安全部门需要经常通过各种...
前言 爆破在渗透测试中,对技术的要求不高,但是对技巧和字典的要求就很高了,本篇整理下平时学到的一些爆破思路和技巧(偏web渗透登陆),当你无措可施时,暴力破解是最好的方式。 世界上最可怕的事情是你的习惯被别人掌握,一旦有律可循,You go...
0x00 前言 某日,某位小伙伴在微信上发我一个问题,如何利用已知的存储型XSS漏洞在后渗透测试中扩大战果,如RCE?想来这是个很值得思考的一个问题,故有此文。 0x01 分析 首先分析一下问题的题干: ●存储型XSS ●后渗透利用 首先整...
也许大家从事APP功能测试已经有一段时间了,心中一定有一个疑问,怎么样才能提高测试的覆盖面呢,我今天把APP功能测试内容分为APP本身的功能,APP关联的事务、APP外部环境、APP其他四大块来给大家讲解app测试的重点。 一、APP本身的功能及测试要点如...
1、文件上传(导入)和下载(导出)的测试:文件格式、文件信息、文件大小、文件下载的测试 文件格式:文本格式、图片格式、PPT、压缩包等。 文件信息:文件具体内容、文件内容包含特殊字符、文件路径。 文件大小:文件内容为空、文件大小适中...
1、输入框的测试:字符长度、字符类型、文本格式的测试 字符长度:最大值、最小值、中间值、超长值。 字符类型:中文、英文(大小写)、数字(整数、小数、负数)、标点符号、特殊符号(回车、空格、TAB、脚本语言、null等),以及这些字符类型的...
功能测试 功能测试一般需要根据编写的测试用例,执行测试用例,执行的过程中提交缺陷;功能测试一般至少会有两轮,遇到比较麻烦的项目甚至会有三到四轮,而每一轮测试都有其侧重点,比如第一轮功能测试可能会重点关注先关注每个单独的模块的测试,其...
如下是一份 Linux 机器的渗透测试备忘录,是在后期开发期间或者执行命令注入等操作时的一些典型命令,设计为测试人员进行本地枚举检查之用。 此外,你还可以从这儿阅读到许多关于渗透测试的文章。 系统信息命令 对于本地的枚举检查很有用。 ...
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了...
前期环境的搭建 Android SDK的安装 adb的安装 java jdk的安装 备注:其中文章中xx.xx.xx是指该应用的包名 一、安装 第一步:从http://download.csdn.net/detail/zzcliang/9886118下载Drozer 第二部:在windows机器上进行安装,并...
导语:分享一个利用Linux计划任务服务和基于ICMP协议封装的Shell,以及其他知识点和技巧的突破防火墙限制的渗透测试案例 年底了,在整理文档时,突然想起之前做过的一个利用Linux计划任务服务和基于ICMP协议封装的Shell,以及其他知识点和技巧的突破...
如何让用户感觉App运行速度更快呢,这需要对App进行性能测试。限制App性能的因素按照App的系统结构分为App自身和App需要用到的后台服务。 测试App连接网络的速度 一般采用在模拟Mock环境下进行测试,测试方法更多使用的是在App的log中添加时间戳...
导语:列目录到帐户密码重置 列目录是最常见的错误配置之一,列目录漏洞到底影响多严重,取决于关键性文件的出现。 最近,我在渗透测试中,我遇到了一个有趣的目录列表,并且可以利用它。通过枚举,我发现了一个子域,这是分段服务器,并可以通过...
在面对一个站点的时候,我们如何一步一步了解,深入,最后发掘漏洞呢?这里我们主要从信息收集和漏洞分析两方面来介绍。(本文侧重黑盒测试) Part1、信息收集 兵法曰:“知己知彼,百战不殆”,我们首先要针对一个站点做信息收集。那么,主要应...
Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议 1、删除样例文件 2、对apache中web.xml进行相关设置 弱口令 漏洞描述 由于系统中存在有弱口令,导致攻击者...
迷阵 “单元测试,集成测试,端到端测试,安全测试,性能测试,压力测试,契约测试,冒烟测试,验收测试,API测试,UI测试,兼容性测试……” 不知道你是不是像我一样,曾被这些各种各样的“测试”搞得晕头转向。作为一个有追求的开发人员,保证...
根据用户需求验证APP的各个功能实现,以用户使用场景,对比说明或需求,整理出内在、外在及非功能直接相关的需求,构建测试点,并明确测试标准。根据被测功能点的特性列丼出相应类型的测试用例对其进行覆盖,。 在测试实现的各个阶段跟踪测试实现与...
渗透测试的标准流程,你get到了吗? 一、渗透测试相关名词解析 1.1 一些前置知识(包含但不限于): 脚本(asp、php、jsp) html(css、js、html) HTTP协议 CMS(B/S) 1.2 肉鸡 被黑客入侵并被长期驻扎的计算机或服务器。可...
0x00 Metasploitable Metasploitable漏洞演练系统,基于ubuntu、xp操作系统,本身设计作为安全工具测试和演示常见漏洞攻击,他的作用是用来作为MSF攻击用的靶机,他是一个具有无数未打补丁漏洞与开放了无数高危端口的渗透演练系统,可以使我们进行练...