安全测试学习准备工作

最新推荐文章于 2024-02-27 21:46:45 发布
最新推荐文章于 2024-02-27 21:46:45 发布
阅读量803 收藏 5
点赞数
分类专栏: Life
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ericzhangyuncsdn/article/details/71424885
版权

有计划慢慢熟悉安全测试相关的内容,了解OWASP的一些知识,今天做了如下尝试:

1、选择漏洞学习的网站,用WebGoat,步骤非常简单

确认本地已经安装了JAVA运行环境, java - version ; 下载WebGoat的最新版本Jar包: https://github.com/WebGoat/WebGoat/releases 

下载好之后,直接cmd 中运行 java -jar ....jar文件既可, 然后通过 http://localhost:8080/WebGoat/login.mvc 来访问环境


2、尝试通过fiddler来跟踪,修改请求,这过程中也尝试通过fiddler的安全测试插件 Watch & X5s来做分析,顺道看下这两工具。


3、尝试 Access Control Flaws->Bypass a Path Based Access Control Scheme 这一课:

     目的:获取请求,修改访问文件的路径,尝试直接跨越当前目录,直接访问某目录下的文件,实现文件的访问。

      修改的文件目录可以参考: ..\..\..\  ---> 通过特殊字符 ..\ 来访问上层目录。 



ericzhangyuncsdn
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试需要掌握的基础知识
天之角的博客
12-01 4776
1. HTTP协议基本概念  (1)介绍HTTP标示URL  (2)HTTP响应状态码  (3)HTTP协议传输内容 (4)HTTP协议请求传输过程(三次握手,四次挥手等) 2. WEB应用认证基本概念  (1)HTTP常见认证机制  (2)BASE64编码介绍  3. B/S架构常见安全问题  (1)拒绝服务攻击基础  (2)Smurf攻击模型  (3)Fraggle攻击模型  (4)SynFl...
安全测试基础学习资料
03-06
包含安全测试手册、测试用例以及流程等较基础学习文档
安全测试学习笔记一(Cookie&Session)
08-02 1034
一,Session:含义:有始有终的一系列动作/消息1,  隐含了“面向连接” 和“保持状态”两种含义2,  一种用来在客户端与服务器之间保持状态的解决方案3,  也指这种解决方案的存储结构“把××保存在session里”二, http 协议本来是无状态的,所以引进了cookie和session机制来保持连接状态cookie与session 机制之间的区别与联系:   
安全测试学习
FreeJava666的博客
03-29 310
根据XSS攻击的效果可以分为几种类型 第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提...
安全测试总结
移木成林博客
02-16 1133
一、安全测试概述   程序员在开发过程中,会有意或无意地埋下一些漏洞,而发现这些安全性漏洞,寻求有效的解决方法则是测试工程师义不容辞的责任。   安全测试主要涉及以下内容:   1、认证与授权 授权:在网站中不同的角色有不同的权限。 认证:一些网页访问需要输入密码进行登录认证。   在认证与授权中要尽可能避免出现漏洞,否则将被不法分子有意地进行利
全程安全测试书本学习总结
12-15
全程安全测试书本学习总结
电气器具通电安全测试记录.doc
04-26
电气器具通电安全测试是确保建筑工程中电气系统安全运行的重要环节。这份“电气器具通电安全测试记录.doc”文档详细记录了对电气设备进行通电安全检查的过程和结果,旨在防止因电气设备故障引发的安全事故,保障建筑...
测试学习资料
11-30
这份"测试学习资料"正是为了帮助那些希望深入理解和掌握软件测试技术的人们准备的自学资源。2018年的软件测试自学学习资料,反映了当时的行业趋势和技术标准,对于初学者和有一定经验的测试人员来说,都是宝贵的参考...
安全帽识别-深度学习参考代码
10-16
在当前的IT行业中,深度学习已经成为了人工智能领域的重要分支,特别是在图像识别...通过研究这个项目,可以了解到如何利用深度学习解决实际问题,以及如何构建一个完整的工作流程,从数据准备到模型优化再到实际部署。
测试学习之路与面试技巧
最新发布
05-10
"测试学习之路与面试技巧"这个主题涵盖了测试工程师在准备面试时需要关注的知识点和策略。以下将详细阐述这些关键点。 一、测试基础理论 1. 测试目的:理解测试是为了发现软件中的缺陷,确保产品质量,保障用户...
Web安全测试学习手册-业务逻辑测试
dfdhxb995397的博客
04-19 394
i春秋作家:Vulkey_Chen 首先感谢朋友倾璇的邀请http://payloads.online/archivers/2018-03-21/1,参与了<web安全测试学习手册>的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已经成型,先发出来让大家看看,欢迎点评,也可以加入我们一起来撰写~ 业务逻辑测试 介绍:这里对Web应用业务逻辑方面的安全缺陷...
安全测试自学】初识安全测试(一)
weixin_30629977的博客
01-17 661
学习资料: 安全测试专家成长系列之-初探Web安全1.mp4 (1)初始安全测试的各类安全问题 (2)安全事件案例集 (3)安全测试的未来 (4)总结和讨论 一、什么是安全测试?? 就是Hack! 白帽子:不违反法律,利用自己的安全技术去做一些事情,合理合法,并帮助厂商去维修。 黑帽子:违反法律去做一些安全方面的事情。 灰帽子:熊猫...
安全测试初学体验
weixin_53622455的博客
07-19 1438
alert(`xss`)
安全测试
shulei00的博客
05-27 4612
安全测试 文章目录前言1.Web安全测试1.基本安全测试2.认证测试3.会话管理测试4.权限管理测试5.文件和目录测试链接 前言 不做文字的搬运工,多做灵感性记录 这是平时学习总结的地方,用做知识库 平时看到其他文章的相关知识,也会增加到这里 随着学习深入,会进行知识拆分和汇总,所以文章会随时更新 参考的文章过多,所以参考会写不全,见谅 进行安全测试的,是需要专业的攻防技术的,这里只是做个基础了解,以后还看专攻方向 1.Web安全测试 1.基本安全测试 各种登陆模式的安全性验证、对口令各种要求的
安全渗透测试流程-渗透测试准备
qq_38831517的博客
07-05 629
本渗透测试流程仅针对公司内部渗透测试,可以获取到渗透测试源码,协同开发人员一起进行安全渗透测试,保证产品质量。 与外部渗透测试流程不同,这里获取产品信息的流程得以简化,渗透测试会比较深入,渗透测试结果不是只要发现一个问题就结束,而是要全面保证产品不会出现功能以外的安全问题。但是,众所周知,安全是相对的,完全保证安全是不可能的。那么,为达到尽可能找到所有问题的目的,最先需要了解的是渗透测试的边界。 渗透测试准备 目的:获取产品所有相关内容,并分析获取渗透测试的边界。 流程: 一. 联系领导提供的负责
安全测试入门基础-笔记
weixin_52798101的博客
02-27 1042
随着互联网的发展,安全问题变得越来越重要。一个大型的互联网站点,如果每天查看日志,会发现有很多试图攻击的脚本。如果不是,证明网站的影响力不够大。信息集成背后隐藏着安全隐患。比如为Web应用编写的代码,由于开发人员的不严谨,质量堪忧,很可能被第三方恶意利用,使得未经授权的访问可以获得对敏感数据和Web服务器的控制。目前很多所谓的安全测试工程师只是使用一些自动化的审计工具来检测系统,将工具检测到的bug整理出来,然后呈现给开发人员。
【软件测试学习笔记】安全性测试
weixin_45852958的博客
02-08 433
安全性测试 就是在软件研发和维护过程中,通过不同的测试方法,发现安全性的问题 安全性测试测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站点请求 发起Blind请求,模拟合法用户,要求转账等请求 5.不安全对象引用 不安全对象的引入,访问敏感文件和资源,web应用返回敏感文件内容 6.被破坏的认证和session管
安全测试学习笔记
weixin_30763455的博客
10-18 141
我对于安全测试的知识仅限于以前上学时候学的信息安全,这方面完全是小白一个。 这篇博客记录我开始学习安全测试的一些内容 一、搭建实验环境 1、虚拟机windows server 2003 2、虚拟机kali Linux 2018.3 3、ophcrack (windows密码破解工具)下载需要的彩虹表配合使用 4、Pwdump (Windows hash密码获取工具) 二、开始我们的第...
BackTrack渗透测试学习笔记概述
4. 漏洞分析阶段:利用各种工具和技术,查找目标系统中的安全漏洞,为后续的攻击做准备。 5. 渗透攻击阶段:实际执行攻击,尝试利用已知漏洞侵入系统。 6. 后渗透攻击阶段:在成功入侵后,学习如何保持访问,进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值