当前位置:安全测试

API安全测试检查项小结
安全测试

API安全测试检查项小结

198 safeboy

现如今开发基本上都是前后端分离,相比前端,后端的测试是最容易发现一些底层bug,修复成本也低。今天主要聊聊接口的安全测试,以及常见的漏洞。一、逻辑越权类可以分为两类:平行越权:权限类型不变,权限对象改变;垂直越权:权限对象不…

安全测试学习之SQLMap小结
安全测试

安全测试学习之SQLMap小结

179 safeboy

一、初识SQLMapSQLMap是一个自动化的SQL注入工具,其作用是扫描、发现并利用给定URL的SQL注入漏洞。其可以完成的任务包括:1)判断可以注入的参数;2)判断可以用哪种sql技术注入;3)识别出数据库类型;4)根据用户选择读…

Andriod应用防止第三方代理抓包的攻防
安全测试

Andriod应用防止第三方代理抓包的攻防

489 suiflow

本文主要介绍安卓应用的网络通信如何防止被第三方代理抓包,以及安全测试人员如何绕过这些限制进行抓包。文中用到的vuls漏洞应用代码及应用可以在https://github.com/AndroidAppSec/vuls/releases/tag/v4.4下载。在测试时,我们知道可以通…

如何发现黑客的“测试”行为
安全测试

如何发现黑客的“测试”行为

633 suiflow

首先给大家科普几个安全测试行业的专业名词。1、应急响应:发生入侵后,对攻击者的入侵手法进行判断、复盘、溯源等。安全测试行业中,应急响应是与安全测试相对立的一面,合格的安全测试工程师会根据自己的测试手段来进行判断处理。2、Webshell…

接口安全测试检查项小结
安全测试

接口安全测试检查项小结

997 dingyx

1、接口参数不能是密码明文。2、需要输入密码做授权校验的操作接口,必须有次数限制,防止对方暴力破解。3、接口不能返回和功能无关的字段,尤其是密码等敏感字段。4、不能发布没有使用的接口。5、控制台和日志均不能打印出密码明文。6、用户…

网站安全性测试小记
安全测试

网站安全性测试小记

543 irene

1、输入项验证要注意从两方面去测试:客户端验证和服务器端验证(禁用脚本调试,禁用Cookies)。重点测试项包含:a.输入很大的数(如4,294,967,269),输入很小的数(负数)b.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达…

浅析APP安全性测试
安全测试

浅析APP安全性测试

1054 suiflow

随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试,以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。目前大部分app采用的http或者https,所以防http抓包泄露用户信息以及系统自身漏洞是必…

8大前端安全问题(下)
安全测试

8大前端安全问题(下)

974 irene

在《8大前端安全问题(上)这篇文章里我们谈到了什么是前端安全问题,并且介绍了其中的4大典型安全问题,本篇文章将介绍剩下的4大前端安全问题,它们分别是:防火防盗防猪队友:不安全的第三方依赖包用了HTTPS也可能掉坑里本地存储数据泄露…

8大前端安全问题(上)
安全测试

8大前端安全问题(上)

1438 irene

当我们说“前端安全问题”的时候,我们在说什么“安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发…

你娃要遭,应用安全弱的我看起来都害怕
安全测试

你娃要遭,应用安全弱的我看起来都害怕

1111 suiflow

我总能在身边看到一桩桩安全事故,不要想多了,这里当然是应用安全事故了(幽默一笑)。如:有人向我抱怨,他们的系统中多了一些莫名其妙的手机号(这些手机号可能并不真实存在)注册用户;网站应用的首页被替换了(标语就是“我们是害虫,我们是害…

上一页12下一页