原文地址：软件测试中的SQL注入作者：吴昊占_软件测试 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如： ⑴ 某个ASP.NET Web应用有一个登录页面，这个

问题（摘要） [Simplified Chinese]一旦达到内存限制，IBM Rational AppScan将会停止工作并显示错误消息 "AppScan内存需求已超过预定义的限制"。 症状 IBM Rational AppScan因为内存使用量增加从而停止扫描。如果强制选择继续扫描的话， Rational AppScan可能会发生崩溃并丢失所有的工作数据。 可以按照以下“解决问题”

AppScan8.0的安装顺序： AppScan8.0_Setup.exe AppScan_Setup8.0.0.3.exe 升级规则Rules-Update-Data-Files-1333 patch.exe 放入license.lic AppScan8.0的配置（AppScan-工具-选项（-高级））： 扫描选项--去除启用扫描日志 扫描选项--扫描过程中自动保存（如果扫描时间过长

建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1、输入验证 客户端验证 服务器端验证(禁用脚本调试，禁用Cookies) 1.输入很大的数（如4,294,967,269），输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*()_+ 4.输入中英文

原文地址：Overflow）">安全测试系列二：缓冲区溢出(Buffer Overflow）作者：克莱沃曼 说到安全问题就不得不提BO。BO是安全中最大，最重要的问题，也是最最经典的安全漏洞，它可以使黑客执行任意代码，从而引发EOP的攻击。很多黑客并不太在乎其他的安全漏洞，他们就是想发现BO，从而拥有对机器的控制权。 由于BO这个问题太经典了，耳朵里不知道听过多少遍，因此在面试现在这家公司的时

HackChecker 黑测工作室 - 专注于软件安全测试技术研究！(www.AutomationQA.com) SQL深盲注入技术 SQL深盲注入技术 Ferruh Mavituna www.portc ullis- sec urity.c om 翻译：daokers         注：我把Deep Blind SQL Injection译为SQL深盲注入技术或者SQL高级盲注

原文地址：火狐插件火狐黑客插件将Firefox变成黑客工具的七个插件作者：gushengruo 目前很多插件不支持 Firefox 3.5 哦 1. Add N Edit Cookies 查看和修改本地的Cookie，Cookie欺骗必备。 下载：http://code.google.com/p/editcookie/downloads/list 2. User Agent Switcher 修

原文地址：(STRIDE)">安全测试系列一：用实例来解释安全威胁分类 (STRIDE)作者：克莱沃曼 安全测试跟通常的测试工作还是有很大不同的。我认为安全测试是在技术上超越开发人员的一个主要途径。一个合格的开发人员去做测试的工作，无论是黑盒，还是白盒，手工，还是自动化，都不需要他花很多的时间就可以进入工作状态。而对于安全测试，即使一个很有经验的开发人员不经过专门的学习也很难进行有效的工作。另外