51Testing软件测试网 »
cm5122590的个人空间
欢迎访问 cm5122590 的个人空间
我的文集
-
2011-01-13 13:17:03 / [安全测试工具]
最近抽了2天时间研究了下appscan工具,针对登录这个简单的操作流程进行了下扫描。根据这2天对扫描结果的阅读和对安全性测试与业内人士的交流,下面总结了几点自己个人的想法(仅限于个人想法),呵呵!1.appscan扫描出的问题1.跨站点脚本攻击(http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx )针对http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'>alert(1292)&r=>"'>alert(1292)&mobile=>"'>alert(1292)&reqtype=>"'>alert(1292)进行改动,可以直接跳转到指定的网站http://g2.mail.10086.
查看(6525)
评论(21)
-
2011-01-12 16:11:59 / [安全测试工具]
1.我录制的邮箱登录,有个错误是appscan扫描到登录的用户名和密码没有被加密。但是开发说,如果用抓包工具,都可以查到用户名和密码,这对吗?2.appscan扫描出web源代码泄露提示的是 有个js,这是说这个js里面有重要的信息泄露了吗?
查看(1572)
评论(4)
-
2011-01-11 22:45:23 / [安全测试工具]
我录制的是一个简单邮箱登陆,用的是录制,但是扫描的时候总是提示不在会话中!请问大家怎么回事但是我用手动搜索就不会出现这样的问题!可以直接扫描到邮箱中的短信和网盘具体模块
查看(1220)
评论(1)