2022/10/13 382 safeboy

EvilSelenium是一款基于Selenium的渗透测试工具，该工具基于武器化的Selenium实现其功能，可以帮助广大研究人员针对基于Chromium的浏览器进行安全分析和渗透测试。功能介绍1、通过autofill获取存储的凭证信息；2、获取Cookie数据；3、获取…

2022/09/08 452 safeboy

在《西方哲学史》中，伯特兰·罗素说：“事实必须通过观察而不是推理来发现。”在网络安全领域也是如此，实证大于逻辑，因为攻击者往往不讲武德。如果你想真正了解你的网络、应用程序、主机和员工的安全性，最好的方法是通过经验测试（渗透测试）…

2021/11/30 1686 safeboy

大型企业渗透测试个人去做怎么做？个人认为步骤应该是信息搜集，扫描，入侵，内网渗透这么个思路，实际上他在问的时候，我并不知道他想让我回答什么内容。我刚提到信息搜集，就开始下一个问题了。安全模式下绕过php的disablefuction？DL函…

2021/11/06 1051 jiujiu

几乎OWASP每年的top10安全问题中，SQL注入一直高居榜首，这也就成为了安全测试、渗透测试领域最为关注的一个点。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而…

2021/05/24 1658 safeboy

1、准备好渗透测试记录测试记录是执行过程的日志，在每日测试工作结束后，应将当日的成果做成记录，虽然内容不必太过细致，但测试的重点必须记录在案：拟检测的项目使用的工具或方法检测过程描述检测结果说明过程的重点截图(有结果的…

2021/03/18 1359 safeboy

1、输入域的值为数字型，用1=1,1=2法若满足条件，则存在SQL注入漏洞，程序没有对提交的整型参数的合法性做过滤或判断。2、输入域的值为字符型，用’1=1’,’1=2’法若满足条件，则存在SQL注入漏洞，程序没有对提交…

2021/02/23 2930 haohaode

1、安装包测试安装包反编译测试用例风险：源代码未做混淆使攻击者很轻易反编译出源代码导致代码泄漏风险。执行步骤：使用反编译工具打开应用，如发现代码内未经过混淆，就说明存在应用可进行反编译，记录漏洞，停止测试。预期结果：安装包…

2021/01/18 6984 haohaode

MobSF简介MobSF(Mobile-Security-Framework)是一种开源自动化的移动应用程序（Android/iOS/Windows）安全测试框架，能够执行静态，动态和恶意软件分析。它可用于Android/iOS和Windows移动应用程序的有效和快速安全分析，并支持二进制文…

2020/11/18 1526 safeboy

“在测试过程中，特殊的操作往往容易触发异常场景，而这些异常场景也很容易引起安全问题！”常见的安全漏洞就不多说了，这里主要介绍常见的业务安全问题及修复建议。01刷短信问题描述：当发送短信的请求接口只需要手机号码或其他可猜解…

2020/09/16 1915 safeboy

如果想要入坑安全测试的同学，对以下的概念要有所了解。功能验证：采用黑盒测试方法，对涉及安全的软件功能进行测试。漏洞扫描：采用主机或系统漏洞扫描器自动检测远程或本机安全性弱点。模拟攻击试验：采用冒充、重演、消息篡改、服务拒绝…