-
安全性测试学习项目:webGoat
作者: yangyan21 / 发表于 2015-11-07 19:52:35
什么是 WebGoat?
WebGoat 是
OWASP 组织研制出的用于进行 web 漏洞实验的应用平台,用来说明
web应用中存在的安全漏洞。 WebGoat
运行在带有 java 虚拟机的平台之上,当前提供的训练课程有
30 多个,其中...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
安全测试之前言
作者: zzzmmmkkk / 发表于 2013-11-23 23:54:43
在以前和现在的工作中都有过一些安全方面的涉猎,虽然不是很深入,也算是自己的一些经历,在接下来的几篇文章中会逐步跟大家探讨安全性测试,当然,更多是web安全相关的。而这篇文章,就当作是说一些正确的废话,...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
缓冲区溢出攻击
作者: fangwm / 发表于 2013-07-26 00:27:47
void foo(char* input){char buf[100];strcpy(buf, input);} 栈的顺序:X86 EBP Stack FrameHighest addressArgumentsReturn addressPrevious EBPSaved rigisterslocal storageLowest address 在C语言中,...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
登录页面-安全性测试
作者: yubiao584521 / 发表于 2013-03-07 16:34:20
最近经常有人问,登录功能怎样做安全性测试,要关注哪些方面.闲来无事,根据自己以往做过的项目,现总结如下:1、登录时对用户名、密码、验证码的合法性验证2、连续登录失败后的处理策略(比如:连续失败3次,锁定...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
PrepareStatement与Statement的区别
作者: yubiao584521 / 发表于 2013-03-06 16:28:02
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement来代替Sta...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
获取jsessionid后如何利用
作者: candyzc / 发表于 2012-08-06 15:03:28
上周简单弄了一下安全性测试,用appscan扫描了系统,爆出“标识未更新”的高危漏洞,上网查了一下,然后自己又琢磨了一下,我个人理解如下:登录前后cookie未发生变化。 第1步:打开系...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
安全性测试的方法--【转】
作者: chabao110 / 发表于 2011-12-17 17:14:21
1. 功能验证
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。
2....在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
企业级Web安全渗透测试之SSL篇
作者: msnshow / 发表于 2011-11-07 22:37:59
如果Web服务中的SSL和TLS协议出现安全问题,后果会如何?很明显,这样的话攻击者就可以拥有你所有的安全信息,包括我们的用户名、密码、信用卡、银行信息……所有的一切。本文将向读者详细介绍如何针对Web服务中的...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
转载:安全性测试的几个工具
作者: 月光蝴蝶 / 发表于 2011-09-28 09:47:00
来自:http://www.51testing.com/?uid-168839-action-viewspace-itemid-243531
作者:xiaobing0324
Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…
-
windows下制定安全策略-禁止某个IP和本地进行通信-yc
作者: fairylly / 发表于 2011-03-19 15:22:39
目标:测试过程中,有时需要禁止某个IP和本地进行通信;方法:通过windows的控制台实现样例:本地同192.168.146.182之间,阻止任何通信;操作步骤:1、在运行窗口输入:mmc,打开控制台;2、菜单:文件-添加/删除...在蓝鲸项目,似乎大家对质量的关注意识有些欠缺,于是在项目上的不同角色、不同工作年限的人之间采样做了一次访谈,上面这个问题就是其中访谈的问题之一。有同事曾提醒我说这种题就是送分题,肯定不会有人回答不出。可是,事实并非如此…