安全性测试
candle806
本人从事过一年以上软件开发4年以上软件测试2年测试管理经验主要专注于金融互联网产品测试包括自动化性能测试和安全性测试并担任测试管理测试开发以及测试架构工作目前所在行业为金融领域
展开
-
什么是XSS攻击
<br />什么是XSS攻击 <br />XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。 <br /><br />如何寻找XSS漏洞 <br />XSS攻击分成两类,原创 2010-12-03 09:30:00 · 2028 阅读 · 0 评论 -
浅谈sql注入
<br />关于sql注入,作为一个测试人员是必须要关注的,当前关于web的安全性测试中sql注入已经成为了主流的漏洞之一,我们不容忽视。作为开发人员那就更应该了解了,如果没能正确的认识sql注入,就很难做到防患于未然,因为我们大多数程序中之所以出现sql注入是由于程序缺乏很严谨的逻辑设计,还有一方面就是开发人员经验不足所体现出来的。<br />通常sql注入是从正常的www端口访问的,从表面来看,跟一般的web访问没有区别,所以目前市场上的防火墙并没有对sql注入给出相关的警报,一般如果管理员没有查看日志原创 2010-12-16 12:27:00 · 1118 阅读 · 0 评论 -
sql注入
<br />上一节简单我们介绍了sql注入的原理,本节将介绍sql注入的思路和分类。<br />在进行sql注入攻击测试之前,我先要把握sql注入的总体思路和切入点,具体如下几个方面:<br />·发现SQL注入位置; <br />·判断后台数据库类型; <br />·确定XP_CMDSHELL可执行情况 <br />·发现WEB虚拟目录 <br />·上传ASP木马; <br />·得到管理员权限; <br /> <br />SQL注入攻击的种类<br />知彼知己,方可取胜。原创 2010-12-17 14:54:00 · 748 阅读 · 0 评论