安全测试

2024/4/11 15:03:13
MSDS组成16项

MSDS组成16项

MSDS报告简要说明了产品对人类健康和环境的危害性并提供如何安全搬运、贮存和使用该化学品的信息。作为提供给用户的一项服务,生产企业应随化学商品向用户提供安全说明书,使用户明了化学品的有关危害,使用时能主动进行防护,起到减…
阅读更多...
安全测试之推荐工具(一)

安全测试之推荐工具(一)

文章目录 一、前言二、Web安全(一)AppScan(推荐)(二)AWVS(推荐)(三)Burp Suite(推荐)(四)OWASP ZAP 三、主机安…
阅读更多...
DVWA-10.XSS (DOM)

DVWA-10.XSS (DOM)

大约 “跨站点脚本 (XSS)”攻击是一种注入问题,其中恶意脚本被注入到原本良性和受信任的网站上。 当攻击者使用 Web 应用程序发送恶意代码(通常以浏览器端脚本的形式)时,就会发生 XSS 攻击, 给…
阅读更多...
自学软件测试,从10K到40K的技术路线,也就是这些东西...

自学软件测试,从10K到40K的技术路线,也就是这些东西...

如果有一天我从梦中醒来时,发现自己的几年自动化测试工程师经验被抹掉,重新回到了一个小白的状态。我想要重新自学自动化测试,然后找到一份自己满意的测试工作,我想大概只需要6个月的时间就够了,如果比较顺利的话&…
阅读更多...
Burpsuite系列安全渗透--自动扫描生成h5报告

Burpsuite系列安全渗透--自动扫描生成h5报告

第一章 简述 Burpsuite是基于Java的用于web安全的工具,能够进行爬虫、代理、编码、密码爆破等任务,并支持对XSS漏洞、文件包含等漏洞的主动扫描或被动扫描。burpsuite2.0具体分为以下11个模块: Dashboard(仪表盘)——显示任务、实践日志等。Target(目标)——显示目标目录结…
阅读更多...
awvs 中文手册详细版

awvs 中文手册详细版

awvs 中文手册详细版 目录: 000、什么是Acunetix Web Vulnarability Scanner ( What is AWVS?) 001、AWVS安装过程、主要文件介绍、界面简介、主要操作区域简介(Install AWVS and GUI Description) 002、AWVS的菜单栏、工具栏简介&#xff…
阅读更多...
风险评估、安全测试、风险分析

风险评估、安全测试、风险分析

一、四大服务体系 1、可管理安全服务 在提供传统安全产品及安全服务的基础上,逐步开展安全运营,用开放的安全平台连接卓越的产品和服务,洞察安全态势,为企业级用户提供小时级的闭环安全保障。 2、安全咨询服务 为客户进行全方…
阅读更多...
安全测试完整版,让你快速入门安全测试,通俗易懂

安全测试完整版,让你快速入门安全测试,通俗易懂

什么是安全测试? 安全测试是评估和验证软件系统、应用程序或网络的安全性和强度的过程。其目标是发现和修复潜在的安全漏洞和脆弱性,以确保系统能够抵御恶意攻击和未授权访问。 安全测试涉及多种角色,不同角色参与安全测试落地的形式也各不…
阅读更多...
API安全集成最佳实践:有效应对安全挑战

API安全集成最佳实践:有效应对安全挑战

API集成的重要性正愈发凸显。调查数据显示,83%的受访者表示API集成在其业务战略中起着关键作用,约40%的受访者表示企业数字化转型的深入发展是推动API集成的关键推动力。对于现代企业而言,API集成的重要性主要体现在以下方面: 提…
阅读更多...
系统安全测试要怎么做?

系统安全测试要怎么做?

进行系统安全测试时,可以按照以下详细的步骤进行: 1、信息收集和分析: 收集系统的相关信息,包括架构、部署环境、使用的框架和技术等。 分析系统的安全需求、威胁模型和安全策略等文档。 2、威胁建模和风险评估: 使…
阅读更多...
安全测试基础知识

安全测试基础知识

软件安全测试是评估和测试系统以发现系统及其数据的安全风险和漏洞的过程。没有通用术语,但出于我们的目的,我们将评估定义为分析和发现漏洞,而不尝试实际利用这些漏洞。我们将测试定义为发现和尝试利用漏洞。 安全测试通常根据要测试的漏洞…
阅读更多...
安全测试之PHP 漏洞全解

安全测试之PHP 漏洞全解

PHP 漏洞全解(一)-PHP的攻击方式 针对 PHP 的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval 注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL 注入攻击(SQL injection) 6、跨网站…
阅读更多...
如何有效的使用AppScan扫描大型网站

如何有效的使用AppScan扫描大型网站

如何更有效使用 Rational AppScan 扫描大型网站 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合…
阅读更多...
sonarqube版本升级

sonarqube版本升级

官方文档:Upgrade guide 步骤1、停止原有sonarqube服务,如果是docker部署的直接停掉容器并删除 步骤2、部署最新版sonarqube,保留原有配置 步骤3、访问sonarqube web 显示维护中,根据官方给出的升级方法,在sonarqub…
阅读更多...
接口测试系列之——接口安全测试

接口测试系列之——接口安全测试

“开源 Web 应用安全项目”(OWASP)在 2019 年发布了 API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足…
阅读更多...
安全渗透测试基础知识梳理

安全渗透测试基础知识梳理

一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估说明基础安全配置评估在了解现状和基本需求的情况下,定义业…
阅读更多...
Webgoat-Hijack a session通关答题教程

Webgoat-Hijack a session通关答题教程

Webgoat-Hijack a session Hijack session是会话劫持,先了解需要用到的知识: Cookie原理: 1.客户端向服务端发起请求 2.服务端返回cookie,自己也保存了一份 3.客户端收到后,将cookie也保存起来 4.客户端再次发起请求时…
阅读更多...
安全测试-django防御安全策略

安全测试-django防御安全策略

django安全性 django针对安全方面有一些处理,学习如何进行处理设置,也有利于学习安全测试知识。 CSRF 跨站点请求伪造(Cross-Site Request Forgery,CSRF)是一种网络攻击方式,攻击者欺骗用户在自己访问的网…
阅读更多...
安全测试之SSRF请求伪造

安全测试之SSRF请求伪造

前言 SSRF漏洞是一种在未能获取服务器权限时,利用服务器漏洞,由攻击者构造请求,服务器端发起请求的安全漏洞,攻击者可以利用该漏洞诱使服务器端应用程序向攻击者选择的任意域发出HTTP请求。 很多Web应用都提供了从其他的服务器上…
阅读更多...
软件安全测试包含哪些内容?测试流程步骤有哪些?

软件安全测试包含哪些内容?测试流程步骤有哪些?

泽众云测试通过专业的安全测试设备与经验丰富的实施人员从应用代码、服务器、数据库、通信交互等方面针对安全性风险进行全方位的检测;凭借专业的安全测试设备以及积累的安全测试用例为客户出具安全测试报告,并为客户提供科学的修复建议。 安全测试解决的…
阅读更多...
DVWA-Brute Force

DVWA-Brute Force

关于 密码破解是从计算机系统中存储或传输的数据中恢复密码的过程。一种常见的方法是反复尝试猜测密码。 用户通常选择弱密码。不安全选择的示例包括在字典中找到的单个单词、姓氏、任何太短的密码(通常被认为少于 6 或 7 个字符)或可预测的模式&#…
阅读更多...
新手如何入门性能测试?一文4个章节带你学会性能测试

新手如何入门性能测试?一文4个章节带你学会性能测试

本文介绍一下性能测试的基础内容和一些学习经验,主要讲针对服务器端的性能测试。其他代码级性能测试、前端性能测试等属于比较细分的领域,建议大家有需要的时候针对性得去学。而对于服务器端的性能测试,即使是不做性能测试的人,最…
阅读更多...
浏览器安全-同源策略和CORS

浏览器安全-同源策略和CORS

同源策略 同源策略是浏览器的一个安全功能,浏览器禁止在当前域读写其他域的资源,如限制跨域发送ajax请求 不受同源策略限制的 1)页面中的链接,重定向表单以及表单提交 2)跨域资源引入 如script不受跨域限制&#xff0…
阅读更多...
Nikto

Nikto

一 简介 Nikto 是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的…
阅读更多...
揭秘接口测试:完整流程指南!

揭秘接口测试:完整流程指南!

在讲接口测试之前,首先需要给大家申明下:接口测试对于测试人员而言,非常非常重要,懂功能测试接口测试,就能在企业中拿到一份非常不错的薪资。 这么重要的接口测试,一般也是面试笔试必问。为方便大家更好的…
阅读更多...
不测试,不安全 —— 安全测试的重要性!

不测试,不安全 —— 安全测试的重要性!

1、 什么是安全测试 安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失&#xff…
阅读更多...
安全测试目录内容合集

安全测试目录内容合集

基础知识 安全测试基础知识 安全测试-django防御安全策略 HTTP工作原理 靶场DVWA 安全测试网站-DWVA下载安装启动 DVWA-Command Injection DVWA-5.File upload 文件上传漏洞 DVWA-9.Weak Session IDs DVWA-XSS (Stored) DVWA-10.XSS (DOM) DVWA-XSS (Reflected) DVWA-15.Ope…
阅读更多...
『渗透测试基础』| 什么是渗透测试?有哪些常用方法?如何开展?测试工具有哪些?优势在哪里?

『渗透测试基础』| 什么是渗透测试?有哪些常用方法?如何开展?测试工具有哪些?优势在哪里?

『渗透测试基础』| 什么是渗透测试?有哪些常用方法?如何开展?测试工具有哪些?优势在哪里? 1 什么是渗透测试?2 有哪些常用方法?2.1 针对性测试2.2 外部测试2.3 内部测试2.4 盲测2.5 双盲测试 3 …
阅读更多...
常见WEB漏洞

常见WEB漏洞

目录 XSS(跨站脚本攻击) 概念 分类 存储型XSS 反射型XSS DOM型XSS XSS(跨站脚本攻击) 概念 黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户浏览网页时,实现控制用户浏览器行为的一种…
阅读更多...
渗透测试工具ZAP入门教程(3)-扫描流程

渗透测试工具ZAP入门教程(3)-扫描流程

使用ZAP扫描网站流程如下: 1)、输入URL,点击启动浏览器,在打开的浏览器登录要扫描的网站,操作页面各种功能,尽可能遍历所有功能及页面 2)、点击Spider Start按钮,爬取静态地址&…
阅读更多...
适用所有公司的安全测试用例

适用所有公司的安全测试用例

现在对测试的人员要求越来越高,纯手工测试即功能测试已经不满足企业的需求,测试需要了解更多的技术领域,比如安全,作为一个非专业安全测试人员,如何进行安全测试呢? 特整理出功能测试同学可以发现的安全问题…
阅读更多...
国内Android App漏洞检测安全测试技术

国内Android App漏洞检测安全测试技术

国内Android App漏洞检测发展简史 前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学…
阅读更多...
年度盘点 | 安全测试者偏爱的安全测试工具

年度盘点 | 安全测试者偏爱的安全测试工具

国外网站 Concise Courses 总结了安全测试者常用且好用的安全测试工具,本文摘录并分类整理列举一二,供安全从业者与爱好者参考。 无线类1、Metasploit (免费) 2003年,美国网络安全研究员兼开发者 Moore 启动了 Met…
阅读更多...
测试靶场bWAPP安装部署

测试靶场bWAPP安装部署

bWAPP(Buggy Web Application)是一个用于学习和练习网络应用安全的漏洞测试平台。它是一个开源的虚拟机或Docker映像,旨在为安全研究人员、开发人员和学生提供一个实践和演示各种Web应用漏洞的环境。 bWAPP包含了许多已知的Web应用程序漏洞&…
阅读更多...
BurpSuite初次安装

BurpSuite初次安装

前言:使用工具需要提前装好java环境 1.下载后,解压如图 2. 点击burp-loader-keygen.jar, 然后点击【run】,复制【License】里生成的内容,别关闭 3.双击.bat文件,并将复制内容粘贴到【Enter license key】中 4.一路nex…
阅读更多...

Copyright @ 2022~2023