http://www.mavitunasecurity.com/blog/netsparker-accuracy-and-time-costs-of-web-application-security-scanner-report/As you can see after NTO Spider, Netsparker is the best scanner when “Trained” and the second best trainer in “Point and Shoot” right after NTO and IBM AppScan.

最近看到很多人的网站都被注入js,被iframe之类的。非常多。。1.首先检查一下服务器配置，重新配置一次服务器安全，可以参考http://hi.baidu.com/zzxap/blog/item/18180000ff921516738b6564.html2.其次，用麦咖啡自定义策略，即使网站程序有漏洞，别人也很难在文件上写入代码了。参考自定义策略，有了这个策略，再烂的程序，你也无法写入我的文件http://hi.baidu.com/zzxap/blog/item/efe093a7e0f2c190d04358ef.html3.可以用网络超级巡警删除被注入的JS代码。参考http://hi.b.

近日，OWASP发布了最新的Web应用脆弱性的top 10，这是继2007年OWASP对TOP10进行修订后进行的又一次更改，该版本暂定为OWASP TOP 10- 2010，目前正在全球寻求修正意见，正式版本预计在2010年上半年最终修订完成。在新版本的OWASP TOP10中主要由以下变化：
1. Top10的命名发生了变化。原先的Top10全称为“The top 10 most critical web application security vulnerabilities”，即“Web应用的十大关键脆弱性”，现在Top10的全称为“The top 10 most critical web application security risks”，即“Web应用的十大关键风险”
2. OWAS.

来51testing很久了，在上面学到了很多有用的知识，最近也写了些文章与大家共同探讨一些问题，在使用博客空间的过程中，无意中发现博客存在跨站的漏洞，所以提出来希望管理人员能尽快修复，共同维护这个知识交流的平台，废话不多说了，进入正题顺便进入任何一个人的博客，就以安全测试版块的斑竹的空间为例吧（老大别砸我：）），进入http://www.51testing.com/?uid/59943找到标题搜索一栏，输入alert(),点击提交，直接弹出框.

具体是这样的：一个兑奖平台，使用积分兑换商品，商品分A类、B类、C类，其中A类B类商品兑换处理调用的同一个方法1处理，C类属于另外一个方法2处理。请教大家下列这两种情况怎样测试：1.模拟同一账号 在不同地点同时登录兑换 A类 或 B类商品（注：当前账号积分 只能兑换 A类 或B类商品中的一件）2.模拟不同账号同时兑换只剩下1件的 A类商品 （注：所有账号均满足兑换条件）有什么好的测试方法，或者借助什么工具可以实现上述情况的测试

第一楼：我的测试历程1--写给测试新人[feiyunkai原创]原帖引自：http://bbs.51testing.com/viewthread.php?tid=136989第二楼：我的测试历程2--写给初次写用例的朋友[feiyunkai原创]原帖引自：http://bbs.51testing.com/thread-137467-1-1.html第三楼：我的测试历程3---用例设计思路（安装/卸载）[feiyunkai原创]原帖引自：http://bbs.51testing.com/thread-137765-1-1.html第四楼：我的测试历程4---这个月我将做什么？[feiyunkai原创]原帖引自：http://bbs.51testing.com/thread-138007-1-1.html第五楼.

考虑到影响，还是删了吧，不太好，望大家谅解。[ 本帖最后由 男孩子 于 2009-11-26 14:08 编辑 ]

1.工具：Nessus（最好的开放源代码风险评估工具）　　　　网址：http://www.nessus.org/　　　　类别：开放源码　　　　平台：Linux/BSD/Unix　　　　简介：Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件，拥有很好的GTK界面，能够完成超过1200项的远程安全检查，具有强大的报告输出能力，可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告，并且会为每一个发现的安全问题提出解决建议。2.工具：Ethereal（网络协议检测工具）　　.

我在软件测试行业已经滚打一年半了，所在公司的软件测试部门也有一定的规模，自己也对测试这门手艺有了小小的认识，在此和软件测试同行们交流一下，希望大家指正，谢谢。一. 测试目的：我们来到公司做软件测试人员是为了什么，那就是挣钱，当然也是为了实现个人价值。那么公司老总为什么很乐意将金钱投到我们测试人员身上呢？那他希望我们测试人员能给他带来什么好处？我们都知道，现在的软件规模是越来越大了，同时软件的功能更加丰富，软件的复杂度也不断增加，软件的可靠性却面临着严重的危机。我们在大学里都做过课.

. 页面链接检查：每一个链接是否都有对应的页面，并且页面之间切换正确。可以使用一些工具，如LinkBotPro、File-AIDCS、HTML Link Validater、Xenu等工具。LinkBotPro不支持中文，中文字符显示为乱码；HTML Link Validater只能测试以Html或者htm结尾的网页链接；Xenu无需安装，支持asp、do、jsp等结尾的网页，xenu测试链接包括内部链接和外部链接，在使用的时候应该注意，同时能够生成html格式的测试报告。如果系统用QTP进行，也可以使用QTP的页面检查点检查、自动化检查2. 相关性检查：　　Ø 功能相关性：删除/增加一项.

想使用webscarab进行安全性测试。但是一运行就报了个错。错误信息如下：有用过这个工具的给个帮助。WebScarab encountered an error trying to retrieveGET http://www.google.com:80/ HTTP/1.0Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*Accept-Language: zh-cnAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 2.0.50727)Host: www.google.comProxy-Connection: Keep-AliveCookie: PREF=ID=efaa.

反射式XSS一直处于一个比较有争议的地位，测试觉得是漏洞，研发觉得没什么。比如这个就是个典型的反射式XSS漏洞：http://www.bokee.net/includes/yuebing.jsp?stra=%E7%94%B7%E5%AD%A9%E5%AD%90将stra后边的部分替换成脚本，发给不太懂这个的人，就算计他一把。但是你跟研发说，研发会很不以为然的说“这有什么，对我网站又没影响。”同时呢，现在不少浏览器也增加了对这类反射式XSS攻击的防范功能，使我们可以说服别人的依据又少了一条。大家平时对这类漏洞都是什么态度呢？处理 or 不处理？一起聊聊吧，就当提升版面人.

~~~[ 本帖最后由 houzeal 于 2009-9-30 10:26 编辑 ]

今天上午泡在职业发展板块，将一些好帖子分享一下。虚假的测试繁荣--Zee注：选择测试，认清测试。测试不难做，难做的是如何做好测试。http://bbs.51testing.com/thread-149405-1-5.html人的差异在于业余时间（转贴）http://bbs.51testing.com/thread-15768-1-5.html《前途》精美完全版——献给将要找工作的学生注：工作没几年的也可以看看，觉得不错。http://bbs.51testing.com/thread-66135-1-6.html分享《大道至简：软件工程实践者的思想》一书ttp://bbs.51testing.com/thread-76046-1-14.html论“软.

做web的安全测试也有些日子了，以前没有到这个版块来过，今天看了看版面上大家都在讨论工具如何如何使用，而很少讨论安全漏洞的原理，我就给大家泼泼凉水，谈谈工具的局限。先说下扫描工具的原理：扫描工具可以看做由两部分组成：爬虫+校验机构。爬虫的作用是搜集整个被采集对象的链接，然后校验机构对这些链接逐一进行验证。然后说扫描工具的局限：局限1：扫描未必全面一个网站，能不能被扫描全面，很大程度取决于爬虫搜集链接的能力。我做过爬虫的测试，所以大致知道爬虫的原理，就是对给定的入口地址发起请求，然后从返回.

很基础的SQL学习文档,一起学习吧

大家来讨论下安全测试使用的测试工具主要可以分以下几个方面：侧重点 优势 弊端 免费OR商业我刚刚涉及安全测试，向大家学习，吼吼:lol[ 本帖最后由 nanmu 于 2009-9-1 18:28 编辑 ]

急求安全测试规范文档[ 本帖最后由 nanmu 于 2009-8-31 18:44 编辑 ]

首先要知道的是：云安全是我国企业创造的概念，在国际云计算领域独树一帜。“云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。云安全的概念提出已经一年有余，而在2008年7月24日，趋势科技历时一年完成了从云安全1.0到云安全2.0的完美升级。在主题为“重新思考你的.

在建国六十年国庆庆典即将到来之际，保证政府信息系统和信息内容安全呢？此次，我们邀请了北京智恒联盟科技有限公司技术总监杨峰先生，为您就国庆安保的安全策略部署进行全面细致的介绍。嘉宾介绍：北京智恒联盟科技有限公司 技术总监 杨峰　　杨峰，毕业于南京理工大学，近10年信息安全工作经验。长期从事信息安全领域攻防研究和安全产品开发,熟练掌握Windows文件过滤驱动技术、NDIS网络接口开发和嵌入式Linux内核模块开发技术，对网络攻击和反攻击有深入的研究……主持人：　　各位网友大家下午好！今天我们请到.