安全测试
关注
分享
扫一扫
文章平均质量分 56
蒲公英上的尘埃
读万卷书,行万里路,方能回到内心深处
展开
-
初识appscan
最近工作不是很多,花了2天时间学习appscan扫描工具。第一天了解了下工具的使用和原理,感觉使用起来还是很简单的。准备第二天学习一下各种配置。第二天早上来上班,领导说难点在于分析结果,让我找开发爸爸一起分析下,无奈开发们都很忙,自然不会理会我。只能自己研究了一波。研究了一些比较常见的安全漏洞,自我感觉还蛮OK。于是用公司的一个现成系统进行了测试,得到的结果,emmmmm,完全看不懂,开发们又很忙...原创 2018-07-31 18:37:02 · 2581 阅读 · 1 评论 -
登录页面的提示信息(安全角度与用户角度思考)
最近在学习安全测试,才知道原来登录页的错误提示也是有讲究的。之前所考虑到的层面仅仅停留在用户的角度,就是用户名/密码错误的话,应当给出具体的错误信息,比如“用户名错误,请重新输入”或者“密码错误,请重新输入”。最近学习到安全测试,用appscan扫描工具测试,出现了一个安全漏洞叫做“登录错误消息凭证枚举”,说的就是怕提示的太具体会给攻击者暴力破解的可能性。因此,从安全的角度考虑,应当给出错误信...原创 2018-08-01 11:14:38 · 1935 阅读 · 0 评论 -
网络安全常见漏洞与分析
一、SQL注入 (1)注入产生原理使用用户输入的参数拼凑SQL语句,用户对服务器端代码里的SQL语句可控,使服务器执行恶意的sql命令http://bbs.pconline.com.cn/topic.jsp?tid=1 ' and 1=2(2)万能密码select * from tb_name where name = ' ' or 1=1 - - ' and pass...转载 2018-08-01 16:18:44 · 18733 阅读 · 0 评论