初学安全测试

最新推荐文章于 2024-05-10 11:51:09 发布
VIP文章 最新推荐文章于 2024-05-10 11:51:09 发布
阅读量722 收藏
点赞数
分类专栏: 测试 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itxib/article/details/125447586
版权

1、安全测试分为几个层次???

1.1 针对操作系统层面

1.1.1 不应该开放的端口开放

1.1.2 远程连接 443

1.1.3 系统管理员密码过于简单

1.1.4 补丁没有及时更新/修复,利用补丁进行攻击

1.2 针对网络通信层面

1.2.1 网络传输协议,应用层、传输层、网络层、链路层、实体层

1.2.2 任何的输入输出都会存在问题

1.3 应用本身

2、Web安全测试

2.1 权限和认证

2.1.1 权限:用户 角色 组 权限

2.1.2 认证:在交互过程中怎么去确保权限得到落实的一个过程

2.2 session和cookie

2.2.1 不要在cookie中携带敏感数据

  • 用户名和密码不要在cookie中保存,cookie会将数据发往客户端
  • 系统本地缓存文件/临时文件夹中可以获取到cookie数据,所以尽量不要将敏感数据放到cookie中

2.2.2 敏感数据一定要加密

  • cookie在传输数据一定要加密,前端加密本质都是无效的

2.2.3 session的过期和存续机制是否合理

2.3 SQL注入

2.4 xss跨站脚本攻击

2.4.1 持久型XSS攻击

  • 一般钓鱼网站
  • 站点存在安全漏洞被攻击者利用

2.4.2 非持久型XSS攻击

  • 修改URL或者其它临时性的措施让用户访问,一次有效

2.5 文件上

最低0.47元/天 解锁文章
itxib
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
火绒软件测试初学者,火绒初步评测-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com...
weixin_34342589的博客
07-26 1512
求大神们轻喷……注:本文测试主要依据3.x版本的病毒库,但是4.x环境依然有效0x0调试了好几个晚上,在茫茫汇编代码里,在无穷无尽的各种结构体里,太容易绕晕了,一个结构体套一个结构体,一个指针一个函数都容易乱指地址,看着看着就晕乎了……写本文有些忐忑,但是处于对火绒的一个评价的态度,还是希望火绒今后会更加强大一些,同时,这里的测试不够全面,仅仅测试了几个小的方面。0x1简介前几天发现火绒已经升级到...
登录页面的测试初学者)
Sourest_lemon的博客
08-09 7073
登录页面的测试拆解
【Web】关于Session过期/失效的理解
日薪灬越亿的博客
07-03 5998
一直好奇关于Session的过期,一种说法是关闭浏览器即Session失效,另一种说法是可以设置Session的过期时间,时间到了自动过期。 这两种说法到底是怎么回事?Session过期跟Cookie过期又有什么关系? 网上搜了几篇相关文章: http://www.cnblogs.com/Vae1990Silence/p/4630392.html http://blog.csdn.net/quiet_girl/article/details/50580095 https://www.cisco
文件上传漏洞(有点乱)
woo233的博客
08-05 891
因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行。3)上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向shell.php.rar.ara这种文件,因为重命名而无法成功实施攻击。删除/禁用JS、修改MIME、等价扩展名、大小写、htaccess、双写、空格、点 ::$DATA、%00截断、 0x00截断、图片马、条件竞争等。2)对上传的文件类型进行白名单校验,只允许上传可靠类型。..
Session过期策略研究
weixin_34405925的博客
04-04 354
首先说一点新手认识中常见的误区:关闭浏览器session就过期了。这种说话是完全错误的, session是否过期与客户端如何操作没什么必然关系,他只与服务器如何设置有关。 以下观点以以PHP语言举例,使用的是chrome浏览器[48.0.2564.116 (正式版本) m (32 位)](△注意这点,因为Firefox浏览器关闭后PHPS...
一起学安全测试——自己搭建安全测试环境(DVWA)
灰蓝
03-28 1万+
想学习安全测试,但没有环境,又不能去网上乱搞,是不是很头大,今天博主就教你搭建一个自己的安全测试环境——DVWA DVWA 全名叫Damn Vulnerable Web Application,是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用,有各种各样的漏洞,专门让你用来联系安全测试的。简直太适合初学者了有没有。下载那么首先我们需要搭建P
推荐几个比较实用的安全测试工具
OKCRoss的博客
03-13 1154
软件的安全是开发人员、测试人员、企业以及用户共同关心的话题,尤其是软件产品的使用者,因为系统中承载着用户的个人信息、人际互动、管理权限等各类隐私海量关键数据。因此软件安全测试必不可少,在测试过程中安全测试工具的选择也尤为重要。适用于Windows和Linux的网络协议分析工具,也是一个很出名的数据包分析工具,可以检查网络流量,是观察TCP/IP异常流量的很好的工具。目前比较流行的安全渗透测试平台,包含了最新的安全测试工具,允许用户从CD或者U盘启动,通过U盘来实施安全渗透测试
安全测试常用几个工具
热门推荐
huangmr的专栏
09-06 5万+
下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器:Nmap Nmap是"Network Mapper"的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划,以及监视主机或服务的正常运行时间。Nmap是一种使用原始IP数据包的工具,以非常创新的方
如何入门渗透测试
qq_28205153的博客
04-03 4万+
转眼间,从大三开始学安全,到现在也有五年了,也算是对渗透测试有一定理解,公众号准备出一些入门教程,以实操为主,希望可以帮助到想入门渗透测试的小白。如果觉得有用,可以在文章后面支持一下我,作为我写下去的动力。 1. 什么是渗透测试 渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。 一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。 一定要注意的是,在.
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
安全测试资料
08-29
非常好的安全测试资料,适用于初学者,希望大家在安全测试的路上越走越好
初学者缓冲区溢出 Joas.pdf
10-06
网络安全渗透测试漏洞
安全性测试
10-22
关于安全性测试初步接触的文档的介绍,对于初学者来说比较适合查阅
知识领域: 网络安全 技术关键词: 漏洞分析、渗透测试、加密算法 内容关键词: 攻击防范、网络流量分析、身份验证 用途: 学习保
04-18
知识领域: 网络安全 技术关键词: 漏洞分析、渗透测试、加密算法 内容关键词: 攻击防范、网络流量分析、身份...资源描述: Cybrary 提供了免费的网络安全课程,覆盖了从基础到高级的各种主题,适合安全从业人员和初学者。
渗透测试介绍
02-29
渗透测试基础介绍,适合于初学和想入门渗透测试的IT人士。
WHAT - 前端安全性测试和常见攻击手段
weixin_58540586的博客
05-10 1288
前端安全性测试和常见攻击手段。
node-v4.2.2-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
独栋别墅图纸D020-两层-10.00&11.00米- 施工图.dwg
05-21
独栋别墅图纸D020-两层-10.00&11.00米- 施工图.dwg
ndnav主题1.1-haiyong.zip
05-21
内容概要: "ndnav主题1.1-haiyong.zip"是一个针对特定导航需求设计的主题包,提供了一套优化的界面元素和布局,旨在增强用户体验和导航效率。这个主题可能包含了图标、色彩方案、字体样式等视觉元素的自定义,以及可能的操作流程优化,确保用户能够快速找到所需信息。 适用人群: 此主题适合需要高效导航解决方案的用户群体,比如专业领域的工作者、研究人员或是对特定领域有深入了解并追求高效率的信息检索者。它也可能适合那些喜欢定制化界面并希望根据个人喜好或工作需求调整导航工具外观和功能的用户。 使用场景及目标: 该主题可用于多种场合,如图书馆、研究机构、学术会议、企业内部信息系统等,任何需要快速而准确导航大量信息资源的环境都会受益。其目标是减少用户在查找和访问信息时的认知负担,通过直观的设计和布局简化用户路径,从而提高工作效率和满意度。 其他说明: 由于没有具体的文件内容,无法提供更详细的功能描述。不过,一般来说,此类主题包的安装和使用可能需要一定的技术知识,用户在安装前应确保理解如何应用主题,并遵循相关的安装指南。同时,用户也应该注意检查主题包的兼容性,确保它能够与现有的导航系统无缝协作。
初学者怎么使用压力测试
07-14
初学者使用压力测试有以下...需要注意的是,在进行压力测试时,要确保对被测系统或网络服务有足够的了解,并遵循相关规范和安全措施,以避免对系统造成不可逆的损害。此外,压力测试可能会对系统造成负载,请谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值