安全测试学习

已于 2022-10-19 14:52:27 修改
阅读量242 收藏
点赞数
分类专栏: 安全测试—SQL注入 文章标签: python pandas 开发语言
于 2022-10-19 09:51:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1185375204/article/details/127394075
版权

文章目录

前言

提示:安全测试学习笔记

提示:以下是本篇文章正文内容,下面案例可供参考

一、SQL注入

示例:联系笔记是用的bwapp这个靶场

二、使用步骤

使用docker 搭建一个bwapp的容器

1、搜索镜像

docker search bwapp

2、运行容器docker run -dit --name bwapp01 -p 8888:80  raesene/bwapp

3、然后登录到界面,点击界面显示的here,就可以完成库的安装了

 

1、SQL Injection (Login Form_Hero)
 

1、在用户名的位置输入‘,报错说明存在注入点
 

 

2、这个界面登录的用户名和密码是heroes表中的数据
 

| login | password |
 

+-----------+----------------+
 

| neo | trinity |
 

| alice | loveZombies |
 

| thor | Asgard |
 

| wolverine | Log@N |
 

| johnny | m3ph1st0ph3l3s |
 

| seline | m00n
 

 

这样我们可以只知道用户名就可以登录成功了
 

上面输入order by 4 的时候不报错,输入order by 5的时候有报错,说明这个表中有4个字段
 

 

3、下面输入确认回显点
 

 

 
 

通过返回可以看到回显点是2,和4
 

 

 

4、确定数据库的名称
 

 

 

 

 

5、确定库中的表
 

 

 
 

 

 

 

6、其他的和原来的一样,就不在做笔记了
 

多条数据显示成一行来展示
 

select 1,group_concat(concat_ws('~',login,password)),3,4 from users;
 

 

 

 

 

 

 


                

        

        

    




    

      

        

            

              
                
                  a1185375204
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
安全测试学习笔记.pdf

				
			

			

				

					05-28
				

			

		

		

			
				
安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf

			
		

	



                

              
                



	

		

			

				
					
【网络安全】渗透测试入门指南,新手必看!

				
			

			

				

					瓦罗兰特顶级C位的博客
				

				

					06-09
					
					1570
					
				

			

		

		

			
				
渗透测试工程师就相当于特种部队里面的特战队员,我们需要对我们的目标做一次渗透,以测试目标的防护能力。渗透测试工程师就相当于矛,目标就相当于盾

			
		

	



                


  
              

                


	

		

			

				
					
安全测试不知如何入门?老司机带你实战训练!

					
最新发布

				
			

			

				

					测试萌萌
				

				

					08-29
					
					228
					
				

			

		

		

			
				
安全测试流程
ps:当前靶场有多种安全方案可进行测试,文章中的方案仅供参考 !
3.1 信息搜集
浏览网站:

			
		

	





	

		

			

				
					
2023不会安全测试的你看过来,一文5个步骤教你实现安全测试

				
			

			

				

					
				

				

					04-26
					
					535
					
				

			

		

		

			
				
大家好,我是一名测试开发工程师。 今天一起来学习下如何做安全测试。
什么是安全测试?
安全测试是一种软件测试类型,用于发现软件应用程序中的漏洞、威胁和风险,并防止来自入侵者的恶意攻击。安全测试的目的是查明软件系统中所有可能导致本公司员工或外部人员损失信息、收入和声誉的漏洞和薄弱地方。

			
		

	



		

			
		



	

		

			

				
					
CSS2020聚焦新基建 腾讯发布云原生安全体系 助力客户备战云上“主战场”

				
			

			

				

					程序人生的博客
				

				

					09-11
					
					1656
					
				

			

		

		

			
				
9月11日,第六届 CSS互联网安全领袖峰会-产业专场正式在线上举行。本届CSS与腾讯全球数字生态大会合二为一,聚焦数字经济下的安全态势、云时代的安全新思维、生态协同技术演进与应用实践等重要命题。在大会上,腾讯安全正式对外发布腾讯云原生安全防护体系,围绕安全治理、数据安全、应用安全、计算安全和网络安全等层面,搭建完整的云上安全防护架构,助力客户应对数字时代的云上安全挑战。
腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生指出,安全是产业数字化的“底座”,每个单位都需要建立一套适用于数字时代的安全体系,以数据

			
		

	





	

		

			

				
					
安全测试学习(一)常见安全漏洞

				
			

			

				

					我的成长之路
				

				

					02-11
					
					4215
					
				

			

		

		

			
				
常见的安全测试类型

登录失败提示信息
需要模糊提示,如“用户名或密码错误”,不能精确提示
登录失败次数限制或验证码刷新
登录失败后需要自动刷新验证码;达到一定失败次数后需要限制登录
登入登出前后,session值需要发生变化
Chrome如何查看sessionID:高级设置–内容设置–Cookie
目录遍历

只输入系统IP,在后面添加…/…/,查看是否能回到上级目录
网址后面加上./WEB-I...

			
		

	





	

		

			

				
					
Web安全测试学习手册.pdf

				
			

			

				

					04-01
				

			

		

		

			
				
基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL...

			
		

	





	

		

			

				
					
安全测试学习笔记一(Cookie&Session)

				
			

			

				

					03-23
				

			

		

		

			
				
一,Session:含义:有始有终的一系列动作\消息1,隐含了“面向连接”和“保持状态”两种含义2,一种用来在客户端与服务器之间保持状态的解决方案3,也指这种解决方案的存储结构“把××保存在session里”二,http...

			
		

	





	

		

			

				
					
安全测试学习笔记二(对于top10漏洞的分析)

				
			

			

				

					03-23
				

			

		

		

			
				
1,问题:没有被验证的输入测试方法:数据类型(字符串,整型,实数,等)允许的字符集	 1,问题:没有被验证的输入	 测试方法:	 数据类型(字符串,整型,实数,等)	 允许的字符集	 最小和最大的长度	 是否允许...

			
		

	





	

		

			

				
					
安全测试教学内容

				
			

			

				

					01-04
				

			

		

		

			
				
安全测试教学内容 都是干货 很多实用的技巧和内容 有助于学习实用

			
		

	





	

		

			

				
					
安全测试基础学习资料

				
			

			

				

					03-06
				

			

		

		

			
				
包含安全测试手册、测试用例以及流程等较基础学习文档

			
		

	





	

		

			

				
					
安全测试如何入门

				
			

			

				

					m0_49521873的博客
				

				

					05-26
					
					313
					
				

			

		

		

			
				
1. 学习基本安全概念:要学习安全测试,您需要首先了解安全领域的基本概念,比如网络安全、应用安全、数据安全、漏洞、威胁模型等等。安全测试是指对软件、应用、系统等进行安全性评估和测试的过程,旨在发现漏洞、漏洞利用风险和其他安全威胁。2. 熟悉安全测试工具:安全测试需要使用相关的工具和软件,比如漏洞扫描器、渗透测试工具、代码审计工具等等。4. 学习更高级的技术:在学习了基础安全知识和基础技能之后,可以选择深入了解某些方面的高级技术,比如渗透测试、代码审计、安全漏洞挖掘等等。

			
		

	





	

		

			

				
					
安全测试从入门到实践[概述]

				
			

			

				

					weixin_44057931的博客
				

				

					08-02
					
					857
					
				

			

		

		

			
				
软件自身程序设计中存在的安全隐患,并检查应用程序对非法入侵的防范能力。-确保只具备系统平台访问权限的用户才能访问,包括对系统对登录或远程访问。

			
		

	





	

		

			

				
					
一起学安全测试——自己搭建安全测试环境(DVWA)

					
热门推荐

				
			

			

				

					灰蓝
				

				

					03-28
					
					1万+
					
				

			

		

		

			
				
学习安全测试,但没有环境,又不能去网上乱搞,是不是很头大,今天博主就教你搭建一个自己的安全测试环境——DVWA
DVWA 全名叫Damn Vulnerable Web Application,是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用,有各种各样的漏洞,专门让你用来联系安全测试的。简直太适合初学者了有没有。下载那么首先我们需要搭建P

			
		

	





	

		

			

				
					
一起学安全测试——Burp Suite初探

				
			

			

				

					灰蓝
				

				

					03-20
					
					4238
					
				

			

		

		

			
				
我想很多人跟我一样,一直认为安全测试是测试领域中非常酷非常高大上的方向,就像黑客一样,之前做功能也了解过一点SQL注入和XSS漏洞,现在,需要往这个高大上的门槛里迈进半步,让我们先从一样工具开始吧——Burp Suite
一 Burp 是什么学习一款工具的第一步就是搞清楚它是什么,是做什么的?Burp 是一款安全领域非常重要的工具(或者说是平台),它用于攻击Web应用程序。Burp里面包含一些工具,

			
		

	





	

		

			

				
					
安全测试怎么入门?

				
			

			

				

					xuezhangmen的博客
				

				

					10-20
					
					358
					
				

			

		

		

			
				
安全测试作为一门越来越受关注的测试技术,至少近年来我的体会是更多的人加入安全测试领域,原因?需求量越来越大,人才缺口却越来越明显。
随着互联网的发展,安全问题也显得越来越重要。一个大型的互联网站点,如果你每天查看日志,都会有很多尝试攻击性的脚本,如果你的网站没有?好吧,那只能证明你的网站影响力还不够大。
实际上,很多所谓的安全测试工程师仅仅停留在使用一些自动化审计工具来检测系统,并对工具检测出来的bug进行梳理,然后把它提给开发人员。这样好不好?
我经常跟一些同行朋友说,安全测试的核心在什么,在于指导开发

			
		

	





	

		

			

				
					
安全测试学习笔记

				
			

			

				

					weixin_30763455的博客
				

				

					10-18
					
					133
					
				

			

		

		

			
				
我对于安全测试的知识仅限于以前上学时候学的信息安全,这方面完全是小白一个。
这篇博客记录我开始学习安全测试的一些内容
一、搭建实验环境
1、虚拟机windows server 2003
2、虚拟机kali Linux 2018.3
3、ophcrack (windows密码破解工具)下载需要的彩虹表配合使用
4、Pwdump (Windows hash密码获取工具)
二、开始我们的第...

			
		

	





	

		

			

				
					
详细描述云安全测试学习路线

				
			

			

				

					02-21
				

			

		

		

			
				

学习安全测试的路线可以分为几个主要部分:1)学习基础理论,比如信息安全的基本原理、威胁模型和安全技术;2)学习安全测试的实践,比如风险评估、检测技术、安全控制以及报告撰写等;3)学习安全测试工具,比如漏洞扫描、社会工程学攻击测试和渗透测试等。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值