安全测试(一)

最新推荐文章于 2024-09-16 14:31:42 发布
最新推荐文章于 2024-09-16 14:31:42 发布
阅读量1.1w 收藏 1
点赞数
分类专栏: Python 文章标签: 安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aoligei_2019/article/details/121961575
版权 
1.安全测试模拟环境 dvwa地址,也可以通过docker部署,可参考github docker部署方式 1min15s
2.常见接口安全测试工具 常见接口安全测试工具介绍 00min28s 
3.安全测试关注维度 常见接口安全测试工具 02min33s 
4.业务安全常见的checklist 3min36s
5.建立安全测试流程 4min23s
6.sql注入漏洞,输入ID为1,单引号闭合前面的符号,通过union执行自己想要执行的语句,再通过注释语句把后面的语句注释掉 SQL注入漏洞 5min35s
	预防:使用参数化查询,避免数据被混在指令中 6min05s
7.XSS攻击
	7.1XSS攻击一般通过javascript或者html方式进行攻击 00min55s
	7.2XSS攻击常见的payload 2min29s
	7.3XSS攻击简单案例 3min36s
	7.4XSS漏洞危害与防范 5min28s
8.CSRF攻击
	8.1XSS是利用用户对网站的信任,CSRF是利用网站对网页浏览器的信任 CSRF漏洞 1min0s
	8.2常见的攻击payload 3min41s
	8.3危害与检测 3min44s

1.安全测试模拟环境 dvwa地址,也可以通过docker部署,可参考github docker部署方式
在这里插入图片描述
2.常见接口安全测试工具 常见接口安全测试工具介绍在这里插入图片描述
3.安全测试关注维度 常见接口安全测试工具
在这里插入图片描述
4.业务安全常见的checklist
在这里插入图片描述
5.建立安全测试流程
在这里插入图片描述
6.sql注入漏洞,输入ID为1,单引号闭合前面的符号,通过union执行自己想要执行的语句,再通过注释语句把后面的语句注释掉 SQL注入漏洞 5min35s
sql简单介绍:
在这里插入图片描述
6.1 sql注入漏洞,输入ID为1,单引号闭合前面的符号,通过union执行自己想要执行的语句,再通过注释语句把后面的语句注释掉 SQL注入漏洞
在这里插入图片描述
6.2 预防:使用参数化查询,避免数据被混在指令中
在这里插入图片描述
7.1XSS攻击一般通过javascript或者html方式进行攻击
在这里插入图片描述
7.2XSS攻击常见的payload 2min29s
在这里插入图片描述
7.3XSS攻击简单案例 3min36s
在这里插入图片描述
7.4XSS漏洞危害与防范 5min28s
在这里插入图片描述
8.1XSS是利用用户对网站的信任,CSRF是利用网站对网页浏览器的信任 CSRF漏洞
在这里插入图片描述
8.2常见的攻击payload
在这里插入图片描述
8.3危害与检测
在这里插入图片描述

接口测试+自动化接口接口测试详解
https://www.cnblogs.com/yuanwt93/p/14497704.html

Python - 通过PyYaml库操作YAML文件 
https://www.cnblogs.com/poloyy/p/12482510.html

https://www.cnblogs.com/supery007/p/11263702.html
Python操作Yaml文件,对特定的字典新增字段和数据

https://www.cnblogs.com/BlueSkyyj/p/13214254.html
Yaml 、Json 、Dict 之间的转化

https://finthon.com/python-decimal/
Python中的decimal模块执行精确的浮点运算

https://www.cnblogs.com/xswt/p/11475164.html
Python+requests重定向和追踪

https://www.cnblogs.com/Zfc-Cjk/p/8417167.html
飞天小子JMeter

Python操作三大主流数据库

todo:
openpyxl 操作 excel
小恐龙不暴燥
关注
专栏目录
安全性测试
yyj173637的博客
04-19 231
软件安全性测试包括程序、网络、数据库安全性测试。安全测试检查系统对非法侵入的防范能力。安全测试期间,测试人员假扮非法入侵者,采用各种办法试图突破防线。例如,①想方设法截取或破译口令;②专门定做软件破坏系统的保护机制;③故意导致系统失败,企图趁恢复之机非法进入;④试图通过浏览非保密数据,推导所需信息,等等。理论上讲,只要有足够的时间和资源,没有不可进入的系统。因此系统安全设计的准则是,使非法侵入的代价超过被保护信息的价值。此时非法侵入者已无利可图。
安全测试报告.docx
07-23
测试流程包括信息收集、安全测试、成果收集、威胁分析和报告输出五个阶段,这是一个全面的评估过程。在结论与建议部分,报告指出系统被评价为不安全,建议在开发阶段就重视安全,如制定兼顾功能和安全的需求、提高...
浅谈web安全测试
Smonk小僧の静思小庙
04-01 1514
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
安全测试入门基础了解(纯概念版)
最新发布
m0_62410106的博客
09-16 406
本文是基于以下课程所做的笔记。
安全测试
涛涛baby
07-05 564
1、sql注入测试 http://www.cnblogs.com/tanshuicai/archive/2010/02/03/1664900.html 2、css注入 window.onload="alert(document.cookie)"获取当前页面的cookie 回复一个帖子,把js注入,js会保存在数据库中 window.onload=function(){alert}
网络安全测试报告模板.docx
06-02
文件更改控制记录是网络安全测试报告的一部分,该部分记录了文件的更改历史,包括版本号、更改日期、更改人、更改内容等。 网络安全测试报告的编制 网络安全测试报告的编制需要遵守一定的格式和结构,以便读者可以...
安全测试报告完整版带模版加完整内容.doc
04-29
安全测试报告】是软件开发过程中至关重要的一环,它旨在识别并修复可能存在的安全漏洞,保护系统的稳定性与用户数据的安全。这份报告详细介绍了【xx系统】的安全测试过程,包括测试的各个方面,为确保系统的安全性...
Web安全服务渗透测试模板.docx
10-30
在漏洞概要部分,测试人员需要对检测到的漏洞进行分类和描述,包括系统层安全测试漏洞概要和应用层安全测试漏洞概要。这部分的内容将为系统的安全状况提供一个全面的概况。 在系统当前安全状况部分,测试人员需要对...
web安全测试
06-21
web安全测试高清扫描版,本书讲了什么是web安全,然后讲了有什么技术来测试web的安全性,且能让web安全测试可自动化,提高了测试的效率,避免了回归测试的痛苦
WEB安全测试
07-02
目录 序 1 前言 3 第1章 绪论 13 1.1 什么是安全测试 13 1.2 什么是Web应用 17 1.3 Web应用基础 21 1.4 Web应用安全测试 25 1.5 方法才是重点 26 第2章 安装免费工具 29 2.1 安装Firefox 29 2.2 安装Firefox扩展 30 2.3 安装Firebug 31 2.4 安装OWASP的WebScarab 32 2.5 在Windows上安装Perl及其软件包 33 2.6 在Linux, Unix或OS X上安装Perl和使用CPAN 34 2.7 安装CAL9000 35 2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章 基本观察 43 3.1 查看网页的HTML源代码 44 3.2 查看源代码,高级功能 45 3.3 使用Firebug观察实时的请求头 48 3.4 使用WebScarab观察实时的POST数据 52 3.5 查看隐藏表单域 55 3.6 使用TamperData观察实时的响应头 56 3.7 高亮显示JavaScript和注释 59 3.8 检测JavaScript事件 60 3.9 修改特定的元素属性 61 3.10 动态跟踪元素属性 63 3.11 结论 65 第4章 面向Web的数据编码 66 4.1 辨别二进制数据表示 67 4.2 使用Base-64 69 4.3 在网页中转换Base-36数字 71 4.4 在Perl中使用Base-36 71 4.5 使用以URL方式编码的数据 72 4.6 使用HTML实体数据 74 4.7 计算散列值 76 4.8 辨别时间格式 78 4.9 以编程方式对时间值进行编码 80 4.10 解码ASP.NET的视图状态 81 4.11 解码多重编码 83 第5章 篡改输入 85 5.1 截获和修改POST请求 86 5.2 绕过输入限制 89 5.3 篡改URL 90 5.4 自动篡改URL 93 5.5 测试对URL长度的处理 94 5.6 编辑Cookie 96 5.7 伪造浏览器头信息 99 5.8 上传带有恶意文件名的文件 101 5.9 上传大文件 104 5.10 上传恶意XML实体文件 105 5.11 上传恶意XML结构 107 5.12 上传恶意ZIP文件 109 5.13 上传样例病毒文件 110 5.14 绕过用户界面的限制 111 第6章 自动化批量扫描 114 6.1 使用WebScarab爬行网站 115 6.2 将爬行结果转换为清单 117 6.3 减少要测试的URL 120 6.4 使用电子表格程序来精简列表 120 6.5 使用LWP对网站做镜像 121 6.6 使用wget对网站做镜像 123 6.7 使用wget对特定的清单做镜像 124 6.8 使用Nikto扫描网站 125 6.9 理解Nikto的输出结果 127 6.10 使用Nikto扫描HTTPS站点 128 6.11 使用带身份验证的Nikto 129 6.12 在特定起始点启动Nikto 130 6.13 在Nikto中使用特定的会话Cookie 131 6.14 使用WSFuzzer测试Web服务 132 6.15 理解WSFuzzer的输出结果 134 第7章 使用cURL实现特定任务的自动化 137 7.1 使用cURL获取页面 138 7.2 获取URL的许多变体 139 7.3 自动跟踪重定向 140 7.4 使用cURL检查跨站式脚本 141 7.5 使用cURL检查目录遍历 144 7.6 冒充特定类型的网页浏览器或设备 147 7.7 以交互方式冒充另一种设备 149 7.8 使用cURL模仿搜索引擎 151 7.9 通过假造Referer头信息来伪造工作流程 152 7.10 仅获取HTTP头 153 7.11 使用cURL发送POST请求 154 7.12 保持会话状态 156 7.13 操纵Cookie 157 7.14 使用cURL上传文件 158 7.15 建立多级测试用例 159 7.16 结论 164 第8章 使用LibWWWPerl实现自动化 166 8.1 编写简单的Perl脚本来获取页面 167 8.2 以编程方式更改参数 169 8.3 使用POST模仿表单输入 170 8.4 捕获和保存Cookie 172 8.5 检查会话过期 173 8.6 测试会话固定 175 8.7 发送恶意Cookie值 177 8.8 上传恶意文件内容 179 8.9 上传带有恶意名称的文件 181 8.10 上传病毒到应用 182 8.11 使用Perl解析接收到的值 184 8.12 以编程方式来编辑页面 186 8.13 使用线程化提高性能 189 第9章 查找设计缺陷 191 9.1 绕过必需的导航 192 9.2 尝试特权操作 194 9.3 滥用密码恢复 195 9.4 滥用可预测的标识符 197 9.5 预测凭证 199 9.6 找出应用中的随机数 200 9.7 测试随机数 202 9.8 滥用可重复性 204 9.9 滥用高负载操作 206 9.10 滥用限制性的功能 208 9.11 滥用竞争条件 209 第10章 攻击AJAX 211 10.1 观察实时的AJAX请求 213 10.2 识别应用中的JavaScript 214 10.3 从AJAX活动回溯到源代码 215 10.4 截获和修改AJAX请求 216 10.5 截获和修改服务器响应 218 10.6 使用注入数据破坏AJAX 220 10.7 使用注入XML破坏AJAX 222 10.8 使用注入JSON破坏AJAX 223 10.9 破坏客户端状态 224 10.10 检查跨域访问 226 10.11 通过JSON劫持来读取私有数据 227 第11章 操纵会话 229 11.1 在Cookie中查找会话标识符 230 11.2 在请求中查找会话标识符 232 11.3 查找Authentication头 233 11.4 分析会话ID过期 235 11.5 使用Burp分析会话标识符 239 11.6 使用WebScarab分析会话随机性 240 11.7 更改会话以逃避限制 245 11.8 假扮其他用户 247 11.9 固定会话 248 11.10 测试跨站请求伪造 249 第12章 多层面的测试 251 12.1 使用XSS窃取Cookie 251 12.2 使用XSS创建覆盖 253 12.3 使用XSS产生HTTP请求 255 12.4 以交互方式尝试基于DOM的XSS 256 12.5 绕过字段长度限制(XSS) 258 12.6 以交互方式尝试跨站式跟踪 259 12.7 修改Host头 261 12.8 暴力猜测用户名和密码 263 12.9 以交互方式尝试PHP包含文件注入 265 12.10 制作解压缩炸弹 266 12.11 以交互方式尝试命令注入 268 12.12 系统地尝试命令注入 270 12.13 以交互方式尝试XPath注入 273 12.14 以交互方式尝试服务器端包含(SSI)注入 275 12.15 系统地尝试服务器端包含(SSI)注入 276 12.16 以交互方式尝试LDAP注入 278 12.17 以交互方式尝试日志注入 280
什么是安全测试
热门推荐
HONGTester的博客
05-28 1万+
安全测试概述,安全漏洞,安全测试特性,加密算法,安全测试常用工具
安全测试安全测试介绍
2301_76161259的博客
04-19 261
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值