OWASP
关注
分享
扫一扫
tingirl
这个作者很懒,什么都没留下…
展开
-
OWASP-IG-002
Search engine discovery/Reconnaissance (OWASP-IG-002) 搜索引擎发现/侦查 本节介绍了如何获得谷歌的索引并查看谷歌缓存中是否已经移除相关的网页内容。 一旦Googlebot已完成抓取,搜索引擎会以网页上的tag和相关属性作为索引,如标题>,以返回相关的搜索结果。原创 2010-01-13 11:58:00 · 495 阅读 · 0 评论 -
OWASP总述
早就想写这个日志了。 OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。 大概是原创 2009-12-31 09:42:00 · 1078 阅读 · 0 评论 -
OWASP-CM-004
Application configuration management testing (OWASP-CM-004)应用配置管理测试 应用结构中的任何元素的正确配置都是重要的,因为这可以阻止可能危害整个架构安全的错误。配置审查和测试在创造和维护应用结构的过程中是一个关键任务,因为如果对不同的系统使用通用配置,拿这些通用配置可能不适用于特定的网站。原创 2010-01-25 15:27:00 · 728 阅读 · 0 评论 -
OWASP-CM-003
Infrastructure configuration management testing (OWASP-CM-003) 基础设施配置管理测试(个人觉得这个说法有点不妥,反正差不多这个意思吧) 具有巨大内在复杂性和异构互联的网络设备实施配置,可以承载数百个web应用,检查每一个单一应用。事实上,单一脆弱点可能导致整个架构的安全问题。为了原创 2010-01-25 14:25:00 · 686 阅读 · 0 评论 -
OWASP-CM-005
Testing for File extensions handling (OWASP-CM-005)文件后缀管理测试 Brief Summary 概述 另外,错误的配置可能使得关于访问控制的完整信息暴露给攻击者。 标准的文件后缀使得渗透者获得关于这一文件的技术的有用原创 2010-01-26 09:19:00 · 689 阅读 · 0 评论 -
关于OWASP TESTING GUIDE
今天一早收邮件,哈哈,guide V3的中文版已经出来了,就不用我辛辛苦苦的去翻译了。虽然大概看了看,翻译的不是很好,但是也很够用了。 链接:http://www.owasp.org/images/0/06/OWASP%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97%28%E4%B8%AD%E6%96%87%EF%BC%89.pdf 接下来关于这部分原创 2010-01-27 09:26:00 · 778 阅读 · 0 评论 -
OWASP-CM-002
DB Listener Testing (OWASP-CM-002)数据库监听器测试 数据库的监听器是一个网络守护进程。它等待从远程客户端发起的连接请求。这个守护进程可以受到影响,从而影响到数据库的可用性。对于一个Oracle数据库来说,数据监听器就是一个远程连接的接入点。它侦听连接请求,并做出相应处理。如果测试人员可以访问这个服务,这个测试是可能的。测试应原创 2010-01-25 13:11:00 · 748 阅读 · 0 评论 -
OWASP-CM-001
Configuration Management Testing 配置管理测试 配置管理测试包括:源代码、HTTP准许、认证方法和基础设施的配置等CM一共有8个测试项。 OWASP-CM-001 SSL/TLS测试 即使使用高加密口令,一些错误的配置仍然可以导致使用弱口令也可以访问。原创 2010-01-22 12:07:00 · 2895 阅读 · 0 评论 -
OWASP-IG-006
OWASP-IG-006 错误代码的分析 在这一节中,我们将分析比较常见的代码(错误信息)。一个很好的集合可以有效的降低整体的执行渗透测试的时间。Not FoundThe requested URL /page.html was not found on this server.Apache/2.2.3 (Unix)原创 2010-01-22 11:55:00 · 616 阅读 · 0 评论 -
OWASP-IG-005
Application Discovery (OWASP-IG-005)应用发现 作为安全专业人员,有时给你一个集合的IP地址也可能只有一个IP地址来进行测试。常常有这样的情况,系统通过未关联DNS来隐藏一些web应用。因此,目标比你最开始看到的往往要更丰富。这样的情况大型组织比较常见。Web应用发现就是为了发现这些信息。原创 2010-01-22 09:37:00 · 611 阅读 · 0 评论 -
OWASP-IG-004
Testing for Web Application Fingerprint (OWASP-IG-004)WEb应用指纹测试 怎么做的呢?其实很简单,就是使用一些请求,通过web返回的信息同已知特征相比较,就能够判断这个网站用的是什么程序,服务器是什么版本的。 服务器的版本类型不同,将影响整个测试的环节。服务器的命令不同原创 2010-01-13 15:21:00 · 445 阅读 · 0 评论 -
OWASP-IG-003
Identify application entry points (OWASP-IG-003)识别应用程序的注入点 什么是注入点? 简而言之,就是可以被渗透进入的点。 对要攻击的应用程序有了初步的认识后,攻击者会试图定位由人为构造的输入而产生的错误信息。 通过一个拦截代理服务器(intercepting原创 2010-01-13 14:43:00 · 649 阅读 · 0 评论 -
OWASP-IG-001
information gathering就是信息搜集。在做渗透测试的过程中,搜集信息一定是第一步。 IG就是信息搜集。IG-001测试Spiders, Robots, and Crawlers 这一节主要描述如何测试robot.txt文件。 每个网站都有一个robot.txt,在这个文件中声明该网站中不想原创 2010-01-13 10:04:00 · 698 阅读 · 0 评论