![](https://img-blog.csdnimg.cn/098b88d93b9c40038ffafa659ff69fdd.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
安全测试
文章平均质量分 87
介绍安全测试的概念、方法以及工具的使用
测试开发Kevin
05年开始从事测试工作,擅长性能测试、安全渗透测试、UI自动化测试,接口测试,白盒测试,测开后端,熟悉Java和Python。
展开
-
干货!以医疗行业为例,讲解数据安全级别划分以及归纳敏感数据的处理策略
数据分类分级是一项基础工作,也是提供数据分级保护的基础措施之一,是企业长期的一项技术、管理措施。企业通过制定数据分类分级策略、模板、管理规范能够有助于帮助企业梳理清楚企业数据资产,在面向合规监管、内部数据安全控制时能够提供更完善的解决方案。同时中国内地相关法律提及数据分类分级制度,通过建立数据分类分级保护制度, 对数据实行分类分级保护。各地区、各部门应当按照数据分类分级保护制度, 确定本地区、本部门以及相关行业、领域的重要数据具体目录, 对列入目录的数据进行重点保护。原创 2024-06-06 11:17:30 · 1797 阅读 · 0 评论 -
一文读懂什么是数据脱敏以及具体落地方案
数据脱敏(Data Masking)是一种信息安全技术,旨在保护敏感信息和隐私数据,防止未经授权的访问或泄露。它通过对原始数据进行有策略的修改或替换,创建一个看上去与原数据相似但不含真正敏感细节的数据副本,以供非生产环境如开发、测试、分析或培训等用途中安全使用。原创 2024-06-06 11:16:36 · 2016 阅读 · 0 评论 -
一文告诉您企业为什么这么关注数字资产指纹
在互联网数字资产管理中,数字资产指纹就是数字资产的“身份证”,也是信息系统安全管理工作的基础。通过网络资产探测(指纹)可以在0day(通常是指还没有补丁的漏洞) 爆发时快速匹配到受影响的信息系统;还可以发现违规开放的资产,为安全运营管理提供便利 ,确保安全制度的稳健实施。原创 2023-12-12 13:15:18 · 1556 阅读 · 0 评论 -
安全测试工具分为 SAST、DAST和IAST 您知道吗?
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别!原创 2023-11-20 09:55:16 · 649 阅读 · 0 评论 -
国产之光Yakit——POC模拟神器
Yakit 是一个高度集成化的 Yak 语言安全能力的安全测试平台,使用 Yakit,可以做到:1. 类 Burpsuite 的 MITM 劫持操作台2. 查看所有劫持到的请求的历史记录以及分析请求的参数3. 全球第一个可视化的 Web 模糊测试工具:Web Fuzzer4. Yak Cloud IDE:内置智能提示的 Yak 语言云 IDE5. ShellReceiver:开启 TCP 服务器接收反弹交互式 Shell 的反连6. 第三方 Yak 模块商店:社区主导的第三方 Yak 模块插件,原创 2023-01-09 10:01:49 · 10895 阅读 · 0 评论 -
详解入门安全测试最难懂的概念 —— CSRF
对于刚刚入门安全的同学来说,csrf是最难理解的概念之一,本文会用最简单的方式对csrf进行讲解,包括csrf的定义,csrf典型的攻击流程以及如何对其进行防范,希望本文能够帮到大家!原创 2022-12-19 10:31:46 · 713 阅读 · 0 评论 -
干货!分享解决python脚本中涉及账号密码泄露的方案(pyarmor)
最近想要解决关于python源码加密的问题,相信这也是许多公司的共性问题。简单地说就是好多测试运维脚本中直接编写了连接各种服务器的代码(包括应用服务器,数据库服务器等等),这是非常不安全的做法!看了一下,目前网上大概的解决方案如下:1.把.py文件转换为.pyc文件(比较容易破解)2.将.py编译为.c文件,再将.c文件编译为.so3. 把py打包成在某一平台的可执行文件,例如生成exe文件4.代码混淆加密(今天重点介绍)原创 2022-11-14 11:51:31 · 2714 阅读 · 1 评论 -
Nuclei(二)进阶——深入理解workflows、Matchers和Extractors
我重点讲解一下nuclei中的三个概念,Workflows、Mathcer和Extractors。这些内容将有助于帮助大家编写更为复杂和高效的检测脚本!原创 2022-08-02 11:26:20 · 2964 阅读 · 0 评论 -
POC模拟攻击利器 —— Nuclei入门(一)
Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。Nuclei使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用Nuclei模拟各种安全检查。.........原创 2022-07-26 15:10:50 · 17313 阅读 · 2 评论 -
测试左移 使用Find Security Bugs检查代码安全问题
Find Security Bugs 是SpotsBug的插件,他主要用来做web和android应用的代码安全测试。目前可以检测出 141 种不同类型的安全漏洞。它支持大量的使用主流的框架和库的代码检测,如包括 Spring-MVC,Struts,Tapestry等,并可以与 IDE 集成,可用于 Eclipse,IntelliJ,Android Studio 和 NetBeans 中的 findbug并提供命令行接口以便用于 maven 和 ant,支持与 Jenkins 和 SonarQube 等..原创 2022-05-18 15:09:49 · 3136 阅读 · 0 评论 -
Dependency check增量更新cve的实现方案
在文章Dependency check配置Mysql数据库存储nvd数据中介绍了如何把nvd库中的cve信息保存到数据库中的方法!但这仍然不是最优的方案,客户端执行脚本后,仍然需要更新cve数据到数据库中,虽然稳定性会得到保障,但是依然会浪费一定时间!那么我们的终极方案是什么呢?实现思路其实也非常简单,只需两步步骤一、定时更新最新的cve信息到数据库步骤二、客户端执行dependency-check时,设置较长的校验时间使其无须检测更新,直接从数据库中读取数据这里注意,步骤一和...原创 2022-05-05 11:31:13 · 1343 阅读 · 0 评论 -
Dependency check配置Mysql数据库存储nvd数据
使用过Dependency check的同学,一定会遇到这个痛点—— 每次执行依赖扫描时,由于网络问题会导致NVD下载种子数据的过程中的种种失败,不仅浪费了大量时间,还会因为下载文件的不完整性直接导致依赖检测的失败。本文主要解决这个痛点,通过Mysql来存储NVD数据来保障下载NVD数据的稳定性!这里假设读者对dependencycheck有使用经验,如果大家不熟悉dependency check可以参考以下两篇文章代码依赖包安全漏洞检测神器 —— Dependency CheckDep...原创 2022-04-28 11:08:54 · 1944 阅读 · 4 评论 -
Dependency Check的实战应用
Dependency Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏洞库即可!关于Dependcy check 的原理和基础使用方式我在前面的文章中已经介绍了,具体参考文章:代码依赖包安全漏洞检测神器 —— Dependency Check本文我会重点介绍一下dependency check的实战使用细节,主要包括在maven中的使..原创 2021-08-26 14:43:58 · 3141 阅读 · 0 评论 -
Burpsuite社区版核心功能使用说明
序言我在这里对Burpsuite社区版的核心功能做一个详细介绍,目的是对想从事安全渗透测试的同学提供一个快速入门的手册!Burpsuite社区版开放的免费功能完全符合想入门渗透测试的同学的需求,当大家熟练地使用社区版后,就能够对渗透测试有了初步的认识,然后可以有的放矢的选择其他工具进行深入学习!试用结论社区版下载地址https://portswigger.net/burp/communitydownload初步比较结论:Burp的免费版中关于渗透测试需要的常用模块:Prox.原创 2020-11-02 17:15:51 · 8309 阅读 · 0 评论 -
入门安全测试必读指南
近年来应用安全越来越受到企业的重视,安全测试的需求也随之激增。那么上手安全测试该了解哪些基础知识点呢?在这里我对常见的安全测试点进行了梳理,希望通过此文能够帮助大家普及安全测试中最常见的知识点!更希望此文能够起到抛砖引玉的作用,激发大家不断探索安全测试领域的热情!sql注入威胁解读:Sql注入就是通过利用一些查询语句的漏洞,将sql语句传递到服务器解析并执行的一种攻击手段。当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括SQL、NoSQL、OS以及LDAP注入等。攻原创 2020-11-02 17:11:23 · 510 阅读 · 3 评论 -
微服务安全测试的关键——接口安全机制
在微服务测试过程中,关于接口的功能和性能测试目前有很多解决方案,而对于接口的安全机制以及其测试方法并没有太多的资料介绍,在这里我会对相关内容进行介绍帮助大家解决接口安全测试的问题!接口安全机制主要包括以下几个方面:认证:确保你的用户或客户端真的是他们自己。授权:确保每个针对API的访问都是经过授权的。审计:确保所有的操作都被记录,以便追溯和监控。流控:防止用户请求淹没API。加密:确保出入API的数据都是私密的。下图会对我们理解接口的安全机制有很大的帮助,最右面是我们提供的原创 2020-11-17 09:45:15 · 431 阅读 · 0 评论 -
研发体系核心代码和文档安全保护方案
最近调研了一下研发资产安全保护方案,简单地说就是,如何避免开发人员把核心代码和核心资料据为己有,离职时偷偷带走!网上有好多人认为这个东西没有必要做,或者根本不能根本杜绝。认为现在的软件产品拼的是业务和运营,代码真心不重要,即使把微信的源码给某某公司,又能怎么样呢?你能防住手抄写或者拍照吗?其实想想是这个道理,光有源码没有用户有何用啊!有同学认为,源码泄漏出去也没关系,自带混淆不说,搞懂的effort远大于再造一套新的代码的effort!更有同学表示大多数软件公司是依靠程序员的自尊心…泄露出去了实在特么丢人啊原创 2021-01-22 15:47:01 · 2923 阅读 · 3 评论 -
代码依赖包安全漏洞检测神器 —— Dependency Check
目前各个企业对于应用的安全越来越重视,而解决应用漏洞的本质是从代码安全抓起。通常关于代码的安全问题有两类:代码本身的安全问题和代码依赖包存在的安全问题。对于代码本身的安全问题,我们可以通过静态代码分析工具解决。而对于代码依赖包的安全问题是我们这篇文章重点解决的事情,业界通常使用Dependency-Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏原创 2020-11-02 17:19:23 · 10016 阅读 · 7 评论