Storm 是一个分布式的实时计算框架,可以很方便地对流式数据进行实时处理和分析,能运用在实时分析、在线数据挖掘、持续计算以及分布式 RPC 等场景下。Storm 的实时性可以使得数据从收集到处理展示在秒级别内完成,从而为业务方决策提供实时的数据支持...
nmap是一款非常实用的扫描工具,适用于linux、windows、mac三大主流平台。 1、mac 安装 brew install nmap 2、Centos 7 安装 yum update yum install nmap 3、使用方法 nmap IP(域名)nmap www.isshare.com nmap 139.129.37.23...
引言 一直对安全方面挺感兴趣的,以前拜读过《白帽子讲web安全》,现在做移动端Android测试,在一次关于热埋点的学习中接触到了Xposed,之后也会关注一点Android 安全方面的东西,最近学习了一点Android动态加载的机制,跟大家分享一下 一点概念...
常见问题 1.XSS(CrossSite Script)跨站脚本攻击 XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达 到恶意用户的特殊目的。 测试方...
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 一...
Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan Appscan的主要特点: Appscan 8.5标准版有很多新的功能,其中大部分将在我下...
在渗透测试中,端口扫描是一个非常重要的环节,端口扫描的目的是了解服务器上运行的服务信息,针对不同的端口进行不同的安全测试,本文的主要内容是关于常见端口安全隐患以及测试方法。 DNS(53)UDP DNS是域名系统(DomainNameSystem)的缩写,该...
安全软件的重点是能使系统更加安全。在开发软件时,绝对不想引入新的故障点,或者增加软件运行系统的攻击面。所以我们自然会认真对待安全的编码实践和软件质量。在这篇文章中,我们想解释一下我们在内部使用的用来发现漏洞和缺陷的模糊测试技术,以便在...
Appscan的强大众所周知,如果可以自动执行定期安全测试,岂不是美事一件?事实上,appscan提供了计划扫描的选项,配合windows的计划任务,可以按需设定。 1、打开appscan中的“工具”--》“扫描调度程序”,新建: 2、填写好相应的设定后,点击确...
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或...
1.Netsparker Community Edition(Windows) 这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。 2.Websecurify(Windows, Linux, Mac OS X) 这是个简单易用的开源工具,此程序还有一些人插件支持,可以自动检测...
最近抽了2天时间研究了下Appscan工具,针对登录这个简单的操作流程进行了下扫描。下面总结了几点自己个人的想法。 1.Appscan扫描出的问题 (1).跨站点脚本攻击(http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?) 针对http://g2....
软件测试中,安全测试是是十分重要的,那么安全测试主要关注哪些方面的内容呢? 这里我们给大家总结如下: 1.关注应用本身的安全,比如SQL注入、XSS、CSRF、上传webshell等,这些是可以用漏扫工具扫出来的,建议用最新的版本,多用几个工具对比下...
-sC:等价于--script=default,使用默认类别的脚本进行扫描可更换其他类别--script= scripts>:使用某个或某类脚本进行扫描,支持通配符描述 --script-args=:为脚本提供默认参数 --script-args-file=filename:使用文件来为脚本提供参数--scr...
一、安装1、右键安装文件,以管理员身份运行,如下图所示:2、点击【确定】3、点击【安装】4、选择:我接受许可协议中单位全部条款,点击【下一步】5、点击【安装】到该目录6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是...
RedSnarf是一款由Ed William 和 Richard Davy开发的,专门用于渗透测试及红队的安全工具。RedSnarf通过OpSec技术,从Windows工作站,服务器和域控制器中检索散列和凭据。 RedSnarf的主要任务包括以下两项: 不在入侵/渗透的主机上留下任何证据 –...
很多企业特别是一些中小型企业在日常生产中,时常会因为时间、预算、人员配比等问题,而大大减少或降低在安全方面的投入。这时候,一些好的免费开源安全工具,无疑成为了这些企业降低成本的首选。下面,我将为大家推荐十款不错的免费开源安全工具。 ...
Metasploit提供了很多辅助的模块,非常实用。今天介绍一个叫search_email_collector的模块,它的功能是查找搜索引擎(google、bing、yahoo),收集和某个域名有关的邮箱地址。 使用步骤: 启动msfconsole: # service postgresql start # ...
前言 当你在爱害者的机器上执行一些操作时,发现有一些操作被拒绝执行,为了获得受害机器的完全权限,你需要绕过限制,获取本来没有的一些权限,这些权限可以用来删除文件,查看私有信息,或者安装特殊程序,比如病毒。Metasploit有很多种后渗透方法...
0×01引言 在获得目标机器基本权限以后,面临我们最大的问题就是如何从普通用户提升为管理员用户。众所周知,Windows服务是以SYSTEM权限运行的,因此,它们的文件夹、文件和注册的键值,都是受到强访问控制保护的。但在某些情况下,会有一些没有受到...
建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2017, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017
51Testing官方微信
51Testing官方微博
