安全测试
关注
分享
扫一扫
筱王国
这个作者很懒,什么都没留下…
展开
-
业务安全漏洞挖掘归纳总结一
0x01 身份认证安全1 暴力破解在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839一些工具及脚本BurpsuitehtpwdScan 撞库爆破必备 URL: https://githu转载 2016-12-19 14:17:00 · 768 阅读 · 0 评论 -
url上添加随机数防止缓存
1、通常使用ajax访问url添加JS,ajax请求地址后加随机参数,比如XXXX?t= + new Date().getTime()。或者 在url后面加一个随机数。 url=test.jsp?number=Math.random(); 浏览器为了提高用户访问同一页面的速度,会对页面数据进行缓存。当url请求地址不变时,有时候会导致浏览器不发送请求,直接从缓存中读取之前的数据。如果数据...转载 2018-03-16 17:53:21 · 1906 阅读 · 0 评论 -
Fiddler抓包5-接口测试(Composer)
前言Fiddler最大的优势在于抓包,我们大部分使用的功能也在抓包的功能上,fiddler做接口测试也是非常方便的。对应没有接口测试文档的时候,可以直接抓完包后,copy请求参数,修改下就可以了。 一、Composer简介点开右侧Composer区域,可以看到如下界面,就是测试接口的界面了1.请求方式:点开可以勾选请求协议是get、post等转载 2017-11-06 10:09:29 · 449 阅读 · 0 评论 -
使用fiddler做web的压力测试
1、下载安装fiddler,在百度上直接搜索fiddler,进入官网,下载程序并安装。2、设置filter,只显示需要测试的url。3、按F11设置断点。4、浏览器打开需要测试的url,可以看到url被fiddler拦截到,并出现在列表中。5、在拦截到的url上点击鼠标右键,->replay -> shift+reissue request 设置访问次数,比如100转载 2017-11-06 10:05:30 · 1072 阅读 · 0 评论 -
Fiddler模拟web请求的四种方法
Fiddler模拟web请求的四种方法1. 现有请求拖拽Fiddler右侧功能面板切换到Composer界面的Parsed面板左侧区域抓包显示各种请求拖拽一条请求(可以是post/get)到右侧composer面板这时可以看到该面板自动填充相应的数据查看已填充数据,可在相应位置修改各数据 可修改切换发送方式(POST/GET/…)可修改请求地址信息可修改web请求遵循的协议转载 2017-11-06 10:04:38 · 1536 阅读 · 0 评论 -
Fiddler修改请求数据
截断方法一:在菜单中选择“Rules”->“Automatic Breakpoint”->“Before Requests”,这种方式会截断所有Request请求。2.浏览器打开站点,并且修改数据:3.执行:Run to Comepletion,查看结果4.取消截断,“Rules”->“Automatic Breakp转载 2017-11-04 15:24:40 · 472 阅读 · 0 评论 -
IBM Rational AppScan使用详细说明
本文将详细介绍Appscan功能选项设置的细节,适合E文一般,初次接触Appscan的童鞋参考阅读.Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan,分析扫描结果将在下一篇文章中讨论.Appscan的主要特点:Appscan 8.5标准版有很多新的转载 2017-09-05 10:34:13 · 908 阅读 · 0 评论 -
appscan使用指南
appscan的详细使用教程 直接进入正题废话不多说,如果都不知道appscan是什么的话,就不用看这篇文章了,不是你的菜!一、appscan的启动与基本配置 如下图,通过开始菜单启动appscan。 在对话框中选择“创建新的扫描”,如下图 在打开的页面中勾选“启动扫描配置向导”,然后选择“转载 2017-09-04 17:13:48 · 1833 阅读 · 0 评论 -
Fiddler 监听手机请求
Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说,都有很大的帮助。监听PC端的http请求,只需打开工具就能监听,而监听智能手机端则需要如下的配置才能起作用!Fiddler配置:依次打开Fiddler->Tools->Fiddler Option转载 2017-01-23 11:11:10 · 1371 阅读 · 0 评论 -
通过Fiddle抓取Https请求
Fiddler通过开启了一个http的代理服务器来进行http请求和响应转发,但默认情况下,并不能抓取https的请求。打开Fiddler,然后点击菜单栏的Tools > Fiddler Options在打开的对话框中切换到https选项卡,勾选Capture HTTPS CONNECTs和Decrypt HTTPS traffic前面的复选框,然后点击“OK”,现在Fiddl原创 2017-01-23 10:53:57 · 712 阅读 · 0 评论 -
业务安全漏洞挖掘归纳总结二
0x06 验证码突破验证码不单单在登录、找密码应用,提交敏感数据的地方也有类似应用,故单独分类,并进一步详情说明。1 验证码暴力破解测试a) 使用burp对特定的验证码进行暴力破解b) 案例: WooYun: 盟友88电商平台任意用户注册与任意用户密码重置漏洞打包2 验证码时间、次数测试a) 抓取携带验证码的数据包不断重复提交,例如:在投诉建议处转载 2016-12-19 14:26:15 · 1521 阅读 · 1 评论 -
Fiddler证书安装(查看HTTPS)
转自:https://blog.csdn.net/SomeOne_yt/article/details/53149402现在很多带有比较重要信息的接口都使用了安全性更高的HTTPS,而Fiddler默认是抓取HTTP类型的接口,要想查看HTTPS类型接口就需要安装fiddler证书。fiddler安装教程可参考:http://blog.csdn.net/SomeOne_yt/article...转载 2019-09-02 16:36:17 · 3174 阅读 · 0 评论