2018/11/06 3812 dingyx

1、接口参数不能是密码明文。2、需要输入密码做授权校验的操作接口，必须有次数限制，防止对方暴力破解。3、接口不能返回和功能无关的字段，尤其是密码等敏感字段。4、不能发布没有使用的接口。5、控制台和日志均不能打印出密码明文。6、用户…

2018/10/23 1979 irene

1、输入项验证要注意从两方面去测试：客户端验证和服务器端验证(禁用脚本调试，禁用Cookies)。重点测试项包含：a.输入很大的数（如4，294，967，269），输入很小的数(负数)b.输入超长字符，如对输入文字长度有限制，则尝试超过限制，刚好到达…

2018/04/11 3684 suiflow

随着互联网发展，APP应用的盛行，最近了解到手机APP相关的安全性测试，以webview为主体的app，站在入侵或者攻击的角度来讲，安全隐患在于http抓包，逆向工程。目前大部分app采用的http或者https，所以防http抓包泄露用户信息以及系统自身漏洞是必…

2017/12/19 2357 irene

在《8大前端安全问题（上）这篇文章里我们谈到了什么是前端安全问题，并且介绍了其中的4大典型安全问题，本篇文章将介绍剩下的4大前端安全问题，它们分别是：防火防盗防猪队友：不安全的第三方依赖包用了HTTPS也可能掉坑里本地存储数据泄露…

2017/12/19 4515 irene

当我们说“前端安全问题”的时候，我们在说什么“安全”是个很大的话题，各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话，那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”，所有发…

2017/05/24 2535 suiflow

我总能在身边看到一桩桩安全事故，不要想多了，这里当然是应用安全事故了（幽默一笑）。如：有人向我抱怨，他们的系统中多了一些莫名其妙的手机号（这些手机号可能并不真实存在）注册用户；网站应用的首页被替换了（标语就是“我们是害虫，我们是…

2017/04/29 2194 smart

中小企业和大型企业一样，管理IT最具挑战性的方面之一就是决定如何有效地扩展Web应用程序安全性。许多企业在试图满足客户需求中，无意中发现自身在软件和应用方面的业务。因此，它们不得不面对越来越多的面向公众的网站，网络应用程序，乃至内部门…

2017/04/29 2431 kelele

今天我们要学习什么是SQL注入和欺骗表，以便更好地了解它。在使用SQL显示数据的网页上，大部分时间允许用户输入搜索条件。SQL查询以文本格式写入，并且可以根据用户输入的搜索条件轻松更改代码。SQL注入是用来将恶意SQL语句注入到数据驱动的应用…

2017/04/28 2649 dingyx

安全测试是功能测试中非常重要的一部分，测试人员确保应用产品的安全性足以阻止黑客或非法用户访问应用程序。下面我们将讨论测试任何软件应用安全性，需要注意的各种安全测试点。我们知道，今天几乎所有的服务，如注册，银行，购物，销售，招标…

2017/04/28 5078 smart

什么是渗透测试？渗透测试是通过使用各种恶意技术评估系统或网络来识别应用程序中的安全漏洞的一种安全测试过程。此测试的主要目的是保护已识别的漏洞，并确保未知用户的重要数据无权访问系统，如黑客。渗透检测可以在谨慎考虑，通知和规划之后进…