安全性测试
TIB
16年软件研发和质量改进工作经验,曾任QA、测试经理、质量部经理、产品经理、技术总监、培训讲师、咨询顾问等职务,著有《软件测试技术大全》、《软件性能测试诊断分析与优化》、《软件自动化测试成功之道》、《大规模组织DevOps实践》等多本畅销书,目前关注软件质量优化、DevOps等领域,联系:18925189935@126.com
展开
-
轻量级网页安全漏洞扫描工具-Wapiti
Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测,可到http://sourceforge.net/projects/wapiti/下载。Wapiti是用Python编写的脚本,使用它需要Python的支持,也就是说要先安装好Python。Wapiti执行的是“黑盒”方式的扫描,也就是说直接对网页进行扫描,而不需要扫描Web应用程序的源代码。Wapiti原创 2008-01-22 21:21:00 · 20878 阅读 · 5 评论 -
TamperIE - 一个小巧的XSS漏洞检测辅助工具
有些开发人员喜欢在客户端进行用户输入的检查,这种方法其实是不安全的,因为跨站脚本攻击可以绕过客户端输入界面,利用一些工具来修改提交到服务器的字符串,从而达到跨站脚本攻击的目的。TamperIE就是此类的小工具之一(www.bayden.com)TamperIE安装后以插件的方式加载到IE浏览器中,监视IE浏览器与服务器之间的HTTP通信,截获提交到服务器的HTTP语句,修改其中的数原创 2008-01-21 23:45:00 · 10720 阅读 · 3 评论 -
安全测试工具
安全测试工具陈能技2007-12-20 Elfriede Dustin在STP的07年第11期杂志上有一篇关于安全性测试工具的文章:《Gunfight at The OK Button》。 文中列出了安全测试工具的15个要点:1、针对源代码,测试出任何类型的弱点。2、针对二进制文件,例如可执行文件,测试出任何类型的弱点。3、检测实时系统的问题,像死锁检测、异步行原创 2007-12-20 21:59:00 · 4720 阅读 · 0 评论 -
.NET开发人员犯的6大安全错误
.NET开发人员犯的6大安全错误陈能技2007-12-21 HP的白皮书《Top six security mistakes .NET developers make : are your web applications vulnerable ?》中提到:行业分析估计超过70%的安全问题是伴随应用程序一起发生的,很多是由于代码的安全性缺陷造成的。 微软在.NET中增加了不原创 2007-12-21 22:01:00 · 4708 阅读 · 0 评论 -
利用CLRProfiler分析.NET程序
CLRProfiler是一个可以用于分析.NET程序行为的工具。可用其分析垃圾回收器堆正在发生的事情,例如什么方法分配了什么类型的对象?另外,还提供了调用图(call graph)功能用于显示哪个方法调用了哪个方法。CLRProfiler可以跟踪分析.NET程序、Services、ASP.NET页面。CLRProfiler支持命令行方式调用: CLRProfiler [-o lo原创 2008-01-20 14:12:00 · 4515 阅读 · 0 评论 -
.NET配置文件的10大安全漏洞
在ASP.NET应用程序在生产环境中部署时,需要检查Web.Config文件是否存在以下10个不正确的配置,可能导致安全漏洞: 1、Disabling custom errors Vulnerable: Secure:原创 2010-03-07 11:16:00 · 2930 阅读 · 0 评论 -
最危险的编程错误
最近CWE发布了2010年度最危险的编程错误Top 25的排名:《2010 CWE/SANS Top 25 Most Dangerous Programming Errors》http://cwe.mitre.org/top25/#CWE-362 其中XSS以346的得分高票领先,其次是SQL注入和缓冲区溢出。 RankScoreID原创 2010-03-09 22:15:00 · 3431 阅读 · 0 评论 -
安全测试工具收集
<br />持续收集中...<br /> <br /> <br /> <br />JAD - Java反编译工具<br /> <br /> <br /> <br />Flash Decompiler<br />http://www.flash-decompiler.com/<br />从FLASH文件swf中提取所有资源的工具软件。包括:声音、图像、视频、图形、帧画面、文本、字体、按键、图标及动作脚本。<br /> <br /> <br /> <br />WSockExpert<br />WSockExpe原创 2010-12-08 22:50:00 · 9683 阅读 · 2 评论 -
Discuz! 7.2的一个XSS漏洞
<br /> <br />Discuz! 7.2的一个XSS漏洞<br /> <br />http://bbs.example.com/vote/showtome.php?tid=6>"><script>alert(3580839)</script><br /> <br />在投票模块中出现的<br /> <br />有空要下载7.2的源码研究研究<br /> <br /> <br />原创 2011-01-26 23:19:00 · 3540 阅读 · 0 评论 -
AppScan 8.0
<br />一段时间没有关注,原来AppScan8.0已经出来了:<br />http://www.ibm.com/developerworks/cn/downloads/r/appscan/<br /> <br /><br />系统要求2G内存了:<br /><br />Minimum requirement<br /><br />Processor Intel Pentium P4, 2.4 GHz<br /><br />Memory 2 GB RAM<br /><br />Disk space 30原创 2011-01-26 16:01:00 · 3844 阅读 · 1 评论 -
黑客模拟攻击闯关网站http://www.try2hack.nl/
<br />黑客模拟攻击闯关网站:http://www.try2hack.nl/<br /> <br />有空去试试<br /> <br /> <br /> <br /> PS:又发现一个可以锻炼攻击能力的网站:<br />http://haxperience.com/<br /> <br /> <br />再加一个:<br />http://www.hack-test.com/<br />原创 2011-01-30 23:46:00 · 10268 阅读 · 6 评论 -
.NET安全工具
<br /> AntiXSS 4.0<br />Microsoft Anti-Cross Site Scripting Library V4.0<br />http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f4cd231b-7e06-445b-bec7-343e5884e651<br /> <br />AntiXSS 4.0 helps you to protect your applications from cross-site sc原创 2011-02-09 22:54:00 · 2681 阅读 · 0 评论 -
架构设计与安全
今天晚上与陈曦明见面吃饭聊天(牛扒味道不错),聊到他们的那个电子商务网站的安全问题,一个是注册的验证码问题,一个是数据被扒取的问题,攻与防的博弈挺有意思的。另外,还聊到性能优化方面的东西,关于乱序读、乱序写的性能问题有时间的话有必要好好研究一下。原创 2011-09-15 23:58:54 · 1774 阅读 · 0 评论 -
软件安全测试实战训练
主题:《软件安全测试实战训练》时间:两天 训练大纲:一、软件安全研发过程1、缺陷与漏洞2、安全测评标准3、微软安全软件开发周期(SDL)4、常见安全漏洞CWEOWASP5、威胁建模与威胁建模工具的应用(SDL Threat Modeling Tool)二、常用安全测试方法与工具应原创 2011-10-15 17:58:27 · 2378 阅读 · 0 评论 -
广州 《软件测试安全实战训练》圆满结束!
广州 《软件测试安全实战训练》圆满结束,课程PPT:http://www.docin.com/p-276983745.html原创 2011-10-25 11:13:04 · 1744 阅读 · 0 评论 -
软件信息安全杂志《Information Security》2011年11月期下载
软件信息安全杂志《Information Security》2011年11月期下载:http://automationqa.com/uchome/space.php?uid=215&do=blog&id=169转载 2011-11-11 11:19:51 · 1688 阅读 · 0 评论 -
《Web Security Testing Cookbook》学习笔记
AQA(www.AutomationQA.com)开始连载《Web Security Testing Cookbook》学习笔记:http://www.automationqa.com/uchome/space.php?uid=215&do=blog&id=557原创 2012-01-07 10:06:33 · 1968 阅读 · 0 评论 -
TIB自动化测试快讯 -- 自动化测试空间一周精选(2012-1-16)
TIB自动化测试快讯 -- 自动化测试空间一周精选(2012-1-16):http://www.automationqa.com/technicalprospect/automationtechnolegy/item/384-tib%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95%E5%BF%AB%E8%AE%AF-%E8%87%AA%E5%8A%A8%E原创 2012-01-16 17:47:58 · 1583 阅读 · 0 评论 -
《Beginning ASP.NET Security》电子书
《Beginning ASP.NET Security》电子书下载:http://ishare.iask.sina.com.cn/f/22795785.html学习笔记:http://www.docin.com/p-329123340.html原创 2012-01-16 16:28:08 · 1719 阅读 · 0 评论 -
今天在尝试Google Hacking时,用“phonebook:allencnj”找到大学时代写的一篇文章
今天在尝试Google Hacking时,用“phonebook:allencnj”找到大学时代写的一篇文章:http://www.sawin.cn/doc/SP/Delphi/TheEdge510.htm一.指纹仪简介 指纹具有"物证之首"的美誉。科学界对指纹的论断是:假设地球上有50亿人口, 经过300年才会有两个相同的指纹出现。可见,指纹的唯一性是具有无可辩驳的地位。 指纹仪第一次改原创 2012-01-20 21:43:27 · 1966 阅读 · 0 评论 -
Vulnerable Web Applications
原文:http://www.myhack58.com/Article/60/61/2011/28920.htm搞Web安全的研究,没有一个本地实验环境是不行的,不能在互联网上乱试。给别人添点麻烦还算是小事,要是一不小心真让你拿下了一个站,结果发现是个蜜罐,你就等着警察叔叔上门吧。所以,安全第一,即使你是在研究安全。Google Vulnerable Web Applications大约返回了467转载 2012-01-22 23:33:21 · 2168 阅读 · 0 评论 -
《Hacking the Code ASP.NET Web Application Security》电子书下载
《Hacking the Code ASP.NET Web Application Security》电子书下载:http://ishare.iask.sina.com.cn/f/22919798.html《Hacking the Code ASP.NET Web Application Security》读书笔记:http://www.docin.com/p-332334758.html原创 2012-01-30 10:12:59 · 2026 阅读 · 0 评论 -
.NET安全测试教程
.NET安全测试教程:http://www.docin.com/p-334445924.html转载 2012-02-02 22:04:16 · 2187 阅读 · 0 评论 -
.NET版的WebGoat
Brian Holyfield 在文章 《.NET StockTrader From MSDN: The New WebGoat?》 中介绍了微软的样例程序 - StockTrader,堪称.NET版的WebGoat,在文章中,作者列举了几个常见的安全漏洞,这些漏洞都可在StockTrader中发现,.NET程序员(尤其是那些喜欢按照sample抄抄改改完成任务的初级程序员)可要注意了,安全测试人原创 2012-01-21 23:09:12 · 2627 阅读 · 1 评论 -
WEB测试学习资源
WEB测试学习资源:http://www.automationqa.com/uchome/space.php?uid=57&do=blog&id=517原创 2011-12-29 20:19:58 · 1654 阅读 · 0 评论 -
WEB安全测试实战
一、常见WEB安全漏洞1、黑客技术分析2、常用黑客工具介绍3、WEB常见攻击方式 二、WEB安全漏洞检测1、HTTP安全测试2、URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改3、HTTP安全漏洞检查、常用工具、案例分析 4、跨站脚本攻击(XSS)方法、XSS原理剖析5、XSS攻防演练、案例分析6、XSS漏洞检查方法、工具、代码审查7、XSS造成的安全后果、如何预防XSS原创 2012-01-04 11:03:04 · 2917 阅读 · 1 评论 -
TIB自动化测试快讯 -- 自动化测试空间一周精选(2012-2-13)
TIB自动化测试快讯 -- 自动化测试空间一周精选(2012-2-13)http://www.automationqa.com/index.php?option=com_k2&view=item&id=401:tib%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95%E5%BF%AB%E8%AE%AF-%E8%87%AA%E5%8A%A8%E5%8C%96%原创 2012-02-13 14:27:03 · 1700 阅读 · 0 评论 -
陈曦明 - “WEB安全测试”
周末是 陈曦明 老师讲“WEB安全测试”的课程,不容错过啊,但是居然有人报名了又“放鸽子”!唉~~还好,还是有不少人坚持参加两天的课程,收获不浅!http://photo.weibo.com/2343967873/talbum/detail/photo_id/3421987081062556?from=profile&profilephoto=1&wvr=4#3421986833815257陈曦明原创 2012-03-10 11:25:45 · 6826 阅读 · 0 评论 -
AppScan 8.6 新特性 - XSS Analyzer
AppScan 8.6 新特性 - XSS Analyzerhttp://automationqa.com/forum.php?mod=viewthread&tid=1000&fromuid=21转载 2012-10-27 11:22:41 · 3070 阅读 · 0 评论 -
三款源代码安全分析工具对比
三款源代码安全分析工具对比http://automationqa.com/forum.php?mod=viewthread&tid=1120&fromuid=21转载 2012-11-17 21:05:02 · 3173 阅读 · 0 评论 -
Fxcop ASP.NET Security Rules - 为FxCop定制的ASP.NET安全规则包
Fxcop ASP.NET Security Rules - 为FxCop定制的ASP.NET安全规则包http://fxcopaspnetsecurity.codeplex.com/Project DescriptionFxcop ASP.NET security rulesThis is a set of code analysis rules aiming at analyzing ASP.原创 2012-12-02 23:13:14 · 1954 阅读 · 0 评论 -
周六 广州 安全测试研讨
周六 广州 安全测试研讨原创 2013-01-09 11:40:56 · 1490 阅读 · 0 评论 -
2012全球安全报告
2012全球安全报告:客户身份信息是攻击者的重要目标,占所调查的外泄数据的 89%。在 2011 年开展的调查中,有超过三分之一是针对特许连锁加盟企业进行的。执法机构检测到 2011 年的侵害行为有所上升 — 从 2010 年的 7% 上升至 2011 年的 33%。173.5 天:企业意识到侵害行为所需的平均时间。以“传输中的”数据为目标的攻击占调查总数的62.5%。“Password1”是全球转载 2013-03-13 23:26:19 · 1469 阅读 · 0 评论 -
手机安全测试 学习笔记 V0.1
手机安全测试 学习笔记 V0.1http://www.docin.com/p-614735410.html原创 2013-03-14 22:48:32 · 3836 阅读 · 0 评论 -
衣联网络-亿能测试 安全测试沙龙 之 "Web安全挑战,企业做好应对了吗?"
衣联网络-亿能测试 安全测试沙龙 之 "Web安全挑战,企业做好应对了吗?"http://automationqa.com/forum.php?mod=viewthread&tid=1932原创 2013-05-23 14:59:53 · 1737 阅读 · 0 评论 -
核心J2EE设计模式的安全分析
核心J2EE设计模式的安全分析:http://automationqa.com/forum.php?mod=viewthread&tid=2276&fromuid=21转载 2013-06-26 22:14:19 · 1787 阅读 · 0 评论 -
安全测试沙龙,周六举行
安全测试沙龙,周六举行:http://gdtesting.com/news.php?id=87原创 2013-06-27 14:34:55 · 1795 阅读 · 0 评论 -
7月Web安全测试实战训练课程
7月Web安全测试实战训练课程http://gdtesting.cn/news.php?id=34原创 2013-06-28 21:32:58 · 1896 阅读 · 0 评论 -
衣联网络-亿能测试 安全测试沙龙 PPT资料免费下载
衣联网络-亿能测试 安全测试沙龙 PPT资料免费下载http://automationqa.com/forum.php?mod=viewthread&tid=2304&fromuid=29转载 2013-06-30 11:34:08 · 1696 阅读 · 0 评论 -
全球5大安全工具Linux发行版本
全球5大安全工具Linux发行版本http://automationqa.com/forum.php?mod=viewthread&tid=2314&fromuid=21转载 2013-07-02 00:23:53 · 1950 阅读 · 0 评论