我的文集

• 对appscan做了2天安全性测试后的总结

  2011-01-13 13:17:03   /   [安全测试工具]

  最近抽了2天时间研究了下appscan工具，针对登录这个简单的操作流程进行了下扫描。根据这2天对扫描结果的阅读和对安全性测试与业内人士的交流，下面总结了几点自己个人的想法（仅限于个人想法），呵呵！1.appscan扫描出的问题1.跨站点脚本攻击（http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx ）针对http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'>alert(1292)&r=>"'>alert(1292)&mobile=>"'>alert(1292)&reqtype=>"'>alert(1292)进行改动，可以直接跳转到指定的网站http://g2.mail.10086.

  查看(6525) 评论(21)

• appscan两个问题

  2011-01-12 16:11:59   /   [安全测试工具]

  1.我录制的邮箱登录，有个错误是appscan扫描到登录的用户名和密码没有被加密。但是开发说，如果用抓包工具，都可以查到用户名和密码，这对吗？2.appscan扫描出web源代码泄露提示的是 有个js，这是说这个js里面有重要的信息泄露了吗？

  查看(1572) 评论(4)

• appscan问题

  2011-01-11 22:45:23   /   [安全测试工具]

  我录制的是一个简单邮箱登陆，用的是录制，但是扫描的时候总是提示不在会话中！请问大家怎么回事但是我用手动搜索就不会出现这样的问题！可以直接扫描到邮箱中的短信和网盘具体模块

  查看(1220) 评论(1)