当前位置:安全测试

如何写渗透测试报告?
安全测试

如何写渗透测试报告?

2444 safeboy

1、准备好渗透测试记录测试记录是执行过程的日志,在每日测试工作结束后,应将当日的成果做成记录,虽然内容不必太过细致,但测试的重点必须记录在案:拟检测的项目使用的工具或方法检测过程描述检测结果说明过程的重点截图(有结果的…

16个你要注意的SQL注入测试点
安全测试

16个你要注意的SQL注入测试点

1893 safeboy

1、输入域的值为数字型,用1=1,1=2法若满足条件,则存在SQL注入漏洞,程序没有对提交的整型参数的合法性做过滤或判断。2、输入域的值为字符型,用’1=1’,’1=2’法若满足条件,则存在SQL注入漏洞,程序没有对提交…

App安全测试之Android应用安全测试汇总
安全测试

App安全测试之Android应用安全测试汇总

4317 haohaode

1、安装包测试安装包反编译测试用例风险:源代码未做混淆使攻击者很轻易反编译出源代码导致代码泄漏风险。执行步骤:使用反编译工具打开应用,如发现代码内未经过混淆,就说明存在应用可进行反编译,记录漏洞,停止测试。预期结果:安装包…

移动端App安全扫描工具MobSF安装及入门教程
安全测试

移动端App安全扫描工具MobSF安装及入门教程

10394 haohaode

MobSF简介MobSF(Mobile-Security-Framework)是一种开源自动化的移动应用程序(Android/iOS/Windows)安全测试框架,能够执行静态,动态和恶意软件分析。它可用于Android/iOS和Windows移动应用程序的有效和快速安全分析,并支持二进制文…

安全测试中常见的业务安全问题
安全测试

安全测试中常见的业务安全问题

2116 safeboy

“在测试过程中,特殊的操作往往容易触发异常场景,而这些异常场景也很容易引起安全问题!”常见的安全漏洞就不多说了,这里主要介绍常见的业务安全问题及修复建议。01刷短信问题描述:当发送短信的请求接口只需要手机号码或其他可猜解…

安全测试笔记带你入坑
安全测试

安全测试笔记带你入坑

2749 safeboy

如果想要入坑安全测试的同学,对以下的概念要有所了解。功能验证:采用黑盒测试方法,对涉及安全的软件功能进行测试。漏洞扫描:采用主机或系统漏洞扫描器自动检测远程或本机安全性弱点。模拟攻击试验:采用冒充、重演、消息篡改、服务拒绝…

API安全测试检查项小结
安全测试

API安全测试检查项小结

3120 safeboy

现如今开发基本上都是前后端分离,相比前端,后端的测试是最容易发现一些底层bug,修复成本也低。今天主要聊聊接口的安全测试,以及常见的漏洞。一、逻辑越权类可以分为两类:平行越权:权限类型不变,权限对象改变;垂直越权:权限对象不…

安全测试学习之SQLMap小结
安全测试

安全测试学习之SQLMap小结

2236 safeboy

一、初识SQLMapSQLMap是一个自动化的SQL注入工具,其作用是扫描、发现并利用给定URL的SQL注入漏洞。其可以完成的任务包括:1)判断可以注入的参数;2)判断可以用哪种sql技术注入;3)识别出数据库类型;4)根据用户选择读…

Android应用防止第三方代理抓包的攻防
安全测试

Android应用防止第三方代理抓包的攻防

7607 suiflow

本文主要介绍安卓应用的网络通信如何防止被第三方代理抓包,以及安全测试人员如何绕过这些限制进行抓包。文中用到的vuls漏洞应用代码及应用可以在https://github.com/AndroidAppSec/vuls/releases/tag/v4.4下载。在测试时,我们知道可以通…

如何发现黑客的“测试”行为
安全测试

如何发现黑客的“测试”行为

3476 suiflow

首先给大家科普几个安全测试行业的专业名词。1、应急响应:发生入侵后,对攻击者的入侵手法进行判断、复盘、溯源等。安全测试行业中,应急响应是与安全测试相对立的一面,合格的安全测试工程师会根据自己的测试手段来进行判断处理。2、Webshell…