![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全测试
文章平均质量分 81
方寸明光
为天地立心,为生民立命,为往圣继绝学,为万世开太平
展开
-
用户密码重置常见安全问题与测试方法汇总
重置密码功能是为了用户可以在忘记密码时重新设置账号凭证的一个有效途径,其本身并未安全问题,但是在重置密码中的验证机制不够完善也就造成了问题的出现,其最主要的原因是用户名,辅助凭证,辅助验证码没有进行统一验证。其可以导致用户账号丢失、信息丢失、财产损失等,对企业来讲,任意账号重置的漏洞将会丢失大量数据,失去用户信任,严重妨碍企业业务,带来巨大的财产损失。原创 2023-11-22 08:30:00 · 397 阅读 · 0 评论 -
验证码常见安全问题与测试方法汇总
系统使用验证码主要是意图一般有两个个目的,即辅助身份验证(短信或邮箱验证码)和防止攻击者利用自动化脚本恶意攻击网站(数字,图片,视频,行为式等验证码)。原创 2023-11-21 08:30:00 · 798 阅读 · 0 评论 -
登录(认证)常见安全问题与测试方法汇总
本篇主要介绍WEB系统登录功能会出现的一些安全问题,以及测试方法,在介绍具体方法之前我们先梳理一下一个正常登录逻辑,以方便我们更好的理解和发掘安全问题。原创 2023-11-20 08:30:00 · 587 阅读 · 0 评论 -
绕过类安全问题分析方法
逻辑漏洞是指程序设计中逻辑不严密,使攻击者能篡改、绕过或中断程序,令其偏离开发人员预期的执行。Burp Suite是PortSwigger公司开发的集成化渗透测试工具,可自动化或手动完成Web应用的安全测试。它拦截HTTP和HTTPS流量,以中间人方式处理客户端和服务端数据,实现安全评估。Burp Suite具有跨平台性,并提供免费版下载。原创 2023-11-17 08:30:00 · 147 阅读 · 0 评论 -
AppScan 最新版本规则逆向方法
最近公司内有项目在验收卡在Appscan扫描不通过为上,项目团对搞了一个月无果,故拉笔者一起分析一下,笔者看了之后初步判断修改方式没有问题,但是又分析不出原因,故引发逆向Appscan规则想法。所以对Appscan进行了一波逆向研究,下面直接介绍规则查看方法;原创 2023-05-19 20:46:48 · 660 阅读 · 0 评论 -
安全漏洞分类之CNNVD漏洞分类指南
凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。原创 2022-11-30 08:00:00 · 5704 阅读 · 1 评论 -
一文搞懂漏洞严重程度分析
漏洞的级别定义主要从两个维度进行判断;1、可利用性2、影响性。原创 2022-11-29 08:00:00 · 2224 阅读 · 0 评论 -
OWASP.A9使用具有已知漏洞的组件,漏洞解读及检测方法
使用具有已知漏洞的组件漏洞介绍漏洞成因应用程序技术栈中使用的框架、库、工具包出现了已知的安全漏洞。攻击方式利用应用程序技术栈中的框架、库、工具等的已知漏洞进行攻击,获取高权限或者敏感数据。漏洞影响敏感数据泄露,提升权限,远程代码执行等,具体影响视漏洞可利用程度而定。漏洞防护1、删除所有不必要的依赖项。2、了解并掌握自己所使用的都有所有组件的清单。3、监视诸如国家信息安全漏洞库cnnvd,通用漏洞库cve,以查找组件中的漏洞。4、定期更新升级自己所用组件。5、尽量不采用那些维护不积极的原创 2021-10-07 11:15:53 · 1126 阅读 · 0 评论 -
GBT25000.51-2016信息安全特性解读
保密性指产品或系统确保数据,只有在被授权时才能访问的程度要求解读1、验证被测系统是否能防止对程序和数据的未授权访问。2、验证被测系统的账户的授权是否应遵循“最小权限原则”,即授权承当任务所需的最小权限。3、验证被测系统是否能明确区分系统中不同用户权限,系统不会因用户的权限的改变造成混乱。4、验证被测系统是否需要需要进行用户身份鉴别,并在每次用户登录系统时进行鉴别。5、验证被测系统是否对不成功的鉴别尝试的值进行预先定义,其中应包括尝试次数和时间的阈值,并明确规定达到该值时是否采取了具有规范性原创 2021-09-17 11:08:05 · 4389 阅读 · 1 评论 -
接口常见安全漏洞说明
缺少对象级访问控制(数据越权)漏洞评级:可利用性:★★★ 普遍性:★★★ 危害性:★★★漏洞描述:攻击者可以通过操作请求中发送的对象的ID,导致未经授权访问敏感数据暴露。这个问题在基于API的应用程序中非常常见,因为服务器组件通常不完全跟踪客户机的状态,而是更多地依赖于从客户机发送的参数(如对象id)来决定访问哪些对象具体表现:没有检查已登录的用户是否有权对请求的对象执行请求的操作漏...原创 2019-12-31 18:19:48 · 7417 阅读 · 0 评论