安全测试
测试之道.
喜欢的可以点个关注,一起学习,博客逐步更新,加v:hz223336进群领取三大pytest自动化测试框架代码,一起学习进步。
展开
-
appscan-APP安全测试
众所周知,appscan是一款企业级应用安全漏洞扫描神器,但是很多刚刚接触的小伙伴经常会有这样的疑问:appscan怎么扫描移动应用(也就是我们常说的APP)。鉴于此,特作此文以供大家参考,文中有差错或纰漏还望指正为谢。Appscan扫描web应用时一般采用自动探索扫描和手动探索扫描两种方式,具体操作可以详见我CSDN另外一篇文章:https://blog.csdn.net/qq_42610167/article/details/101011666但是我们除了要对web应用进行扫描外,有时候还需要对移动原创 2020-08-26 13:54:56 · 1865 阅读 · 3 评论 -
app安全测试:OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
在做移动应用(APP,小程序等)测试时,需要关注应用安全性。ZAP是可以用来进行手机移动应用渗透性测试扫描的。正因为ZAP是采用“中间代理”的形式,截取并扫描所有客户端与服务器的交互请求,作为客户端之一种的移动端应用当然也在其范围之内。更多ZAP代理原理和设置请翻阅安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置需求安装于PC端的OWASP ZAP客户端手机模拟器/真机安卓设置我们将移动APP的形式分为两种情况:被测APP不使用HTTP协议,安卓机器已被root,请使原创 2020-08-12 17:05:02 · 3649 阅读 · 4 评论 -
app安全测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置
ZAP本地代理设置如前文所言,ZAP的工作机制,是通过“中间代理”的形式实现。ZAP的代理设置可以从菜单中的:工具 - 选项 - Local Proxies加载。在这里可以设置ZAP用来接受接入请求的地址和端口等。地址ZAP将要使用的本地地址。所有的可用地址都会被自动检测到并且列出。无特殊要求可以直接使用localhost或127.0.0.1。端口ZAP将会监听的端口,默认8080。如与本机其他服务端口冲突(比如tomcat也是默认使用8080)可以修改使用其他端口。基本上配置好地址和原创 2020-08-12 17:01:19 · 5438 阅读 · 1 评论 -
app安全测试:OWASP ZAP 2.8 使用指南(二):ZAP基础操作
ZAP桌面应用ZAP桌面应用的UI由以下元素组成:菜单栏 – 提供多种自动化和手动工具的访问工具栏 – 提供快速访问最常用组件的用户接口树结构窗口 – 展示被测网站树结构和脚本树工作站窗口 – 展示请求,反馈以及脚本,并且允许编辑他们信息窗口 – 展示工具执行的详细结果页脚 – 展示主要自动工具的执行状态以及警告的汇总在使用ZAP时,你可以点击菜单栏中的帮助或者按F1来查看ZAP桌面应用的用户指引。更多信息请查看ZAP在线帮助文档。ZAP也支持API原创 2020-08-12 16:56:15 · 1998 阅读 · 1 评论 -
app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装
概览本文意在对于OWASP’s Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍。ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP或安全测试进行过于深入的讨论。安全测试基础软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。常见的安全性测试类型原创 2020-08-12 16:51:32 · 2295 阅读 · 0 评论 -
Appscan工具之环境搭建
前言它是由IBM公司开发的一款在web应用程序渗透测试舞台上使用最广泛的工具,有助于专业安全人员进行Web应用程序自动化脆弱性评估。AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新...原创 2019-09-17 10:13:59 · 508 阅读 · 2 评论 -
Appscan结合项目的使用流程
一. 概念AppScan是什么:AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)Appscan工作原理:(扫描规则库 + 爬行 + 测试)1)通过探索了解整...原创 2019-09-19 09:11:23 · 803 阅读 · 1 评论 -
web安全性测试用例
web安全性测试用例建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误.1.输入验证客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&...原创 2019-09-19 09:13:07 · 1623 阅读 · 2 评论