安全测试
王大力测试进阶之路
这个作者很懒,什么都没留下…
展开
-
【安全测试】可怕的越权
之前看了一篇越权文章深受启发,于是就产生了下面的一系列想法,纯属个人观点,但不局限于此,如有更好想法的朋友,可留言自己观点。一、登录权限越权1、登录时长失效,这时当用户仍在此功能页面时,进行充值、付款测试,应是无法操作成功的,踢出到登录页面,并给出提示信息2、A用户用B用户的登录权限做一系列业务操作二、业务逻辑越权 1、业务状态越权新创建的订单、已付款的订单...原创 2019-10-29 14:45:57 · 1983 阅读 · 0 评论 -
神秘的安全测试思考案例(一)
定义:安全测试是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。 概念:安全测试是检查系统对非法侵入渗透的防范能力。 准则:理论上来讲,只要有足够的时间和资源,没有无法进入的系统。因此,系统安全设计的准则是使非法侵入的代价超过被保护信息的价值。 目标:通过对系统进行精心、全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,...原创 2019-04-11 15:22:13 · 2097 阅读 · 0 评论 -
BurpSuit配置抓包http和https请求
1、下载安装burpsuithttps://portswigger.net/burp/communitydownload双击一直点下一步,可安装成功2、burpsuit设置2、浏览器设置代理设置-高级-打开代理设置-局域网设置3、这样可以抓取http包了4、Burp Suite要抓HTTPS的包,是需要有Burp Suite的CA证书的,首先要下载证书到本地...原创 2019-07-04 15:55:08 · 16879 阅读 · 5 评论