软件安全测试(一)

已于 2022-04-25 13:34:02 修改
阅读量1.4k 收藏
点赞数 2
分类专栏: 软件安全测试 文章标签: 渗透测试
于 2021-05-12 16:11:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43808898/article/details/116711690
版权

软件安全测试之系统安全测试(一)

你好! 欢迎学习 系统安全测试知识 。如果你想学习如何进行系统安全测试, 可以仔细阅读我的文章,了解一下系统安全测试。

系统安全测试工具介绍–Burp suite

1.工具下载地址:https://down.52pojie.cn/Tools/Network_Analyzer/Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip。安装burp会用到jdk,所以必须先配置好jdk , 此处不赘述。解压完成后右击burp-loader-keygen.jar,以Java™ Platform SE binary的方式打开keygen
在这里插入图片描述

  1. 修改License Text为任意值也可以不修改
    在这里插入图片描述

  2. 点击run启动burpsuite
    在这里插入图片描述
    4、如果上述方式没有成功启动burpsuite,打开cmd,进入burp-loader-keygen.jar所在目录,执行命令:java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar
    在这里插入图片描述
    5、弹出burp suite安装对话框里,选择accept,点击next
    6、copy keygen窗口的License字符串粘贴到安装对话框里,点击Next
    7、点击copy request,粘贴到keygen窗口的activation request,自动生成activation response,然后复制response文本
    8、burp suite安装对话框里,点击paste response,就自动激活了,然后一路next开始玩转burp suite吧
    (由于我已经激活了,所以以上步骤可查询一些其他相关文档,以下是打开之后的界面)
    在这里插入图片描述
    13、激活之后,不能通过双击BurpSuite主程序来启动,否则启动之后还是需要输入key,两个文件必须放在一个目录下,启动方式有两种:
    通过 keygen 上的 run 按钮来启动(重复步骤3)
    在文件目录下执行java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.31.jar来启动.为了方便,可以将命令保存为一个bat

Burpsuite神奇常用功能使用方法总结

Burpsuite介绍:

一款可以进行再WEB应用程序的集成攻击测试平台。(抓https要在浏览器中导入证书)

1、学习Proxy
首先看标红,intercept is off 为非拦截状态 其对应的intercept is on 为拦截状态,设置完代理后打开拦截状态,浏览器发起的请求会被burpsuite所拦截。
在这里插入图片描述
forward: 进行请求后被拦截,点击forward可以继续此次请求,如果你点击drop则丢弃此请求数据。继续请求后能够看到返回结果
在这里插入图片描述
可以在消息分析选项卡查看这次请求的所有内容

1)Raw 这个视图主要显示web请求的raw格式,包含请求地址, http协议版本, 主机头, 浏览器信息,accept可接受的内容类型,字符集,编码方式,cookies等, 可以手动修改这些内容,然后在点击forward进行渗透测试

2) params 这个视图主要是显示客户端请求的参数信息,get或者post的参数,cookies参数,也可以修改

3)headers是头部信息和Raw其实差不多,展示更直观

4)Hex 这个视图显示Raw的二进制内容

(未完待续)

Augete
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件测试——安全测试常见测试方法
weixin_45189665的博客
10-13 3694
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
软件测试实验课ppt,实验十 团队作业6:团队项目用户验收&Beta冲刺
weixin_36208314的博客
07-23 216
项目内容团队名称GF4团队成员分工描述徐思:软件测试,录制视频,项目PPT,编辑博客杨其菊:软件测试,修复bug,编写博客杨蓉庆:测试方案,修复bug,软件测试,编写博客张燕:软件测试,修复bug,编写博客团队的课程学习目标1.掌握软件黑盒测试技术;2.掌握软件项目确认测试内容,学会编制软件项目总结PPT这个作业在哪些方面帮助团队实现学习目标掌握软件测试技术,提升解决bug能力任务1 Beta 冲...
2024年软件测试最新最佳的10款App安全测试工具_安全测试技术和工具,2024年最新熬夜整理2024最新软件测试高级笔试题
最新发布
2401_84790808的博客
05-05 1922
Veracode 的 MAST(移动应用程序安全测试)服务可以确定移动 App 中的安全问题,并立即采取行动解决问题。它能提供诸如移动 app 安全测试、web app 安全测试和基于计算机的培训解决方案等服务。MobSF 是一款自动化移动 App 安全测试工具,适用于 iOS 和 Android,可熟练执行动态、静态分析和 Web API 测试。Fortify 是 Micro Focus 最智能的安全测试工具之一,可在安装到移动设备前保护移动 App 的安全。试知识点,真正体系化!
软件安全测试
yyj173637的博客
04-19 207
一般指在测试或运行阶段,使用黑盒方法以发现漏洞的过程,如模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应或动态运行状态,从而确定该应用是否易受攻击,如监测诸如内存损坏/不安全的服务器配置/跨站脚本攻击/用户权限问题/恶意SQL注入和其他关键漏洞等缺陷。通过代理/VPN或者在服务端部署Agent程序,收集/监控应用程序运行时函数执行/数据传输/并与扫描端进行实时交互,高效/准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件/行数/函数及参数,如CodeDx,Checkmark CxlAST等。
安全测试的策略
KIKI_20170120的博客
04-03 867
安全测试测必要性 系统如果有功能性bug,最多是体验不好,损失点用户,本质上问题不是很大,青山还在,柴还有得砍。但是如果有高危漏洞,被黑客入侵,往小了说,服务可能瘫痪导致用户或资金的损失,或是数据丢失和泄露,或是服务资源被黑客恶意利用,或是公司被勒索,导致公司业务无法正常运作或是损失过大。但是往大了说,如果黑客在入侵后在该司对外网站上挂上任何和黄赌毒反动等相关的任何内容,那么就不是公司自己的问题了,根据严重情况决定解决,小则罚款停业整顿,大则直接关停。 安全测试的策略 安全性测试(Security T
软件安全测试方法
热门推荐
datuzijean的博客
01-25 1万+
WEB攻击方法: 跨站脚本攻击、SQL注入、OS注入、http首部注入、http相应拦截攻击、邮件首部攻击、目录遍历攻击、远程文件包漏洞、会话劫持、会话固定、跨站点请求伪造、密码破解、DOS攻击。 渗透测试渗透测试是一种合法且授权定位计算机系统,并对其成功实施漏洞攻击的方法,其目的为了使这些受测系统更加安全。测试过程包括漏洞探测和提供概念证明攻击,以证明漏洞确实存在。渗透测试也称为黑客活...
2024软件安全测试.doc
04-25
静态代码安全测试(Static Application Security Testing,简称SAST)是一种在软件的编码和设计阶段分析源代码、字节码或二进制文件以识别潜在安全漏洞的技术。这种测试方法不需要运行被测应用程序,可以在软件开发...
软件安全测试报告.pdf
09-29
软件安全测试报告.pdf
软件行业安全测试方案模板
07-31
安全测试方案 给大家提供方向,编写思路,拓展思维 在编写安全测试方案时,需要关注的测试工具,范围,具有详细描述
软件安全测试的几个原则
03-23
软件安全测试的几个原则摘要:软件安全性是一个广泛而复杂的主题,要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。本文从软件安全测试需要考虑的问题,来探讨软件安全测试原则,通过遵循这些原则避免许多...
软件测试中WEB安全性测试
03-23
一个完整的WEB安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置软件测试中WEB安全性测试由于web应用于用户直接相关,又通常需要承受长时间的大量操作,因此web项目的功能和性能都必须经过可靠的...
软件系统的安全性测试
10-15
安全性测试方法 ,1. 功能验证 功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。 2. 漏洞扫描 安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使 用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从 而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。 3. 模拟攻击 对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的安全防护能力
软件安全(安全测试
09-20
关于软件安全测试方面的教程,内容很详细,适合网络安全爱好者学习。
软件安全测试 测试用用例(样例)
05-18
软件测试过程中,功能测试及性能测试的测试用例一般比较多,但安全测试的用例就少一些,这是我日常工作中整理的安全测试用例的样例,与大家分享探讨。
安全测试培训教程
09-10
安全测试培训教程,WEB安全测试,APP安全测试安全测试扫描工具
如何进行软件安全性测试?CMA、CNAS软件安全测试报告获取
卓码测评
03-13 701
软件安全性测试是保障软件应用安全的重要手段,通过对软件系统的安全性进行全面评估和检测,以确保软件能够抵御各种潜在的安全威胁和风险。那么如何进行软件安全性测试?CMA、CNAS软件安全测试报告又该如何获取呢?
软件安全测试入门
fangWinnie的博客
10-13 168
1.SQL注入 2.框架钓鱼风险 3.XSS注入
世界500强科技公司软件安全测试用例
06-20
这一规范的制定旨在提高软件安全测试的效率和质量,以及规范公司内部软件安全测试的流程和标准。 在规范发布之后,公司内部的软件开发和测试团队将会按照该规范的要求进行安全测试的工作。这将有助于公司在技术和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值