软件应用安全
文章平均质量分 76
跬行万里
积跬步,至万里
展开
-
软件安全性测试设计的基本原则
2015年3月2日百度了下网上已有的同类话题,讲的有些笼统。这里将我日常工作中涉及到的细化一下,以备忘。1. 最小授权只授予每个用户/程序在执行操作时所必须的最小特权。这样可以限制事故、错误、攻击带来的危害,减小特权程序之间潜在的相互影响。2. 发生故障优先保证安全:当系统发生故障时,对任何请求默认应加以拒绝。3. 深入防御原则:采用多层安全机制,这个概原创 2015-03-02 20:26:21 · 9010 阅读 · 2 评论 -
IBM AppScan 安全扫描报告中部分问题的解决办法
IBM AppScan安全扫描:加密会话(SSL)Cookie中缺少 Secure 属性处理办法原因分析:服务器开启了Https时,cookie的Secure属性应设为true;解决办法:1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn2.修改web.config,添加:转载 2015-04-09 22:44:56 · 12531 阅读 · 0 评论 -
如何在Linux上从命令行嗅探HTTP流量
假设你出于某个原因而想嗅探网络上的实时HTTP Web流量(比如HTTP请求和回应)。比如说,你可能在测试网站服务器的试验性功能,或者在调试Web应用程序或充分利用REST的服务,抑或是你想要为PAC(代理自动配置)排查故障,或检查从某个网站偷偷下载的任何恶意软件文件。不管出于什么原因,嗅探HTTP流量大都有帮助,对系统管理员、开发人员、甚至最终用户来说都是如此。虽然tcpdump等数据包嗅探转载 2015-04-09 22:47:44 · 691 阅读 · 0 评论 -
10个最酷的namp技巧/技术
Nmap (“Network Mapper”)是一个免费开源的网络探测和安全审计实用工具,许多系统和网络管理员也使用它完成一些任务,例如:网络清查、管理服务升级计划和监视主机或服务的正常运行时间等。这里列举了一些使用namp的一些非常cool的扫描技术,除此之外,你也可以查看在namp主页上的向导和教程。翻译:wpulog1) 获取远程主机的端口信息和识别主机操作系统(Get info转载 2015-04-09 22:48:38 · 877 阅读 · 0 评论 -
软件安全测试之网络安全&管理安全
书接上文:~软件安全测试之系统安全测试~一、组网安全1. 产品提供网络拓扑图:按照三层模型或者其他模型设计的具备安全性的拓扑图,图中必须标明所有网络设备的逻辑连接关系,网络物理连线图(包括无线网络连接)。2. 安全域划分:依据业务系统内不同主机的服务类型、安全保护需求和安全等级进行网络安全域的划分,如核心业务区、OM 区、DMZ 区、非信任区、第三方互联区、远程维护区等。原创 2015-03-21 07:35:42 · 6349 阅读 · 1 评论 -
软件安全测试之系统安全测试
书接上文:~应用安全测试设计~一、操作系统安全1. 操作系统不允许存在Nessus扫描出的高风险级别漏洞*注:Nessus使用方法简介对于各服务器的操作系统采用Nessus进行漏洞扫描:1、登录Nessus;2、创建扫描策略:点击“Policies”菜单,再点击“Add”按钮,在第一步中设置扫描策略的名称;在第二步配置超级管理员账号口令;在第三步,点击“Di原创 2015-03-18 20:18:43 · 5337 阅读 · 0 评论 -
软件安全测试之应用安全测试
先说几句废话,望大家海涵^_^(如果你想从头开始一步步学习安全测试设计,请从我的上一篇文章开始一步步学习下去点击打开链接>,但如果因为工作进度很急,可以先跳过下面的”废话“直接参考总结好的测试方案)说起安全测试,曾几何时在我心中一直是一种“高大上”的工作,它涉及软硬件、系统架构设计、代码/脚本开发、汇编/反汇编等多个技术层面;相关的技术人才也比较”贵“...从而导致了中小型互联网企业的产品原创 2015-03-02 21:26:51 · 36543 阅读 · 6 评论