安全测试篇

最新推荐文章于 2024-10-08 18:52:50 发布
最新推荐文章于 2024-10-08 18:52:50 发布
阅读量2.5k 收藏
点赞数
文章标签: 黑盒测试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51065904/article/details/121534243
版权
本文记录了一位温柔的安测小姐姐对应用系统的安全测试,包括密码强度要求、登录锁定机制、会话管理、HTTPS使用、日志权限、定期漏洞扫描、日志留存期限以及浏览器回退功能的安全设置。这些措施旨在确保系统的安全性与用户数据的保护。
摘要由CSDN通过智能技术生成

安全测试:应用系统

今天来了以为超级温柔的小姐姐过来安测,下面是我记录的一些内容

应用系统

登录主要测试的是:
1.密码的强弱、要求是8位以上、且大小写、特殊字符
2.密码错误5次以上需要锁定30分钟
3.系统太久没使用需要强制退出
4.网址需要使用https
5.日志的权限不应该只有管理员账户有
6.要定期漏扫
7.日志的数据要>=180天且不能删除清空
8.退出登录后点击浏览器自带的回退不能回退到用户登录账号前

weixin_51065904
关注
[车联网安全自学] Android安全之移动安全测试指南「安全测试和SDLC」
橙留香Park的博客
02-02 3147
[车联网安全自学] Android安全之移动安全测试指南「安全测试和SDLC」;对应用程序及其组件进行风险评估,以确定其风险状况。这些风险状况通常取决于组织的风险偏好和监管要求。风险评估还基于各种因素,包括应用程序是否可以通过互联网访问,以及被应用程序处理和存储的数据类型。所有类型的风险都必须被考虑到:金融、市场、行业等。数据分类策略规定了哪些数据是敏感的,以及如何保护这些数据安全要求是在项目或开发周期开始时确定的,即应用功能需求被收集时。滥用案例,随着用例的创建而被添加。如果团队(包括开发团队)需要
2024网络安全人才实战能力白皮书安全测试评估
09-13
9月10日,国内首个聚焦“安全测试评估”的白皮书——《网络安全人才实战能力白皮书-安全测试评估》(以下简称“白皮书”)在国家网络安全宣传周正式发布。 作为《网络安全人才实战能力白皮书》的第三章,本次...
web安全测试--基础
qq_64444051的博客
07-02 8006
web安全测试概念及常用工具
安全测试-Drozer安全测试框架实践记录
qq_34381178的博客
08-06 4958
二、环境部署一、Drozer简介Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。......
网络安全
lxhhk1的博客
01-20 9790
网络安全是在数字化时代保护信息和数据的关键领域。随着互联网和网络技术的发展,个人和组织面临着日益复杂和多样化的网络威胁。这些威胁包括病毒、木马、钓鱼攻击、数据泄露、恶意软件以及其他各种形式的网络攻击。因此,了解和实施有效的网络安全措施变得至关重要。在探索和实践网络安全时,遵纪守法是一个核心原则。网络空间不是法外之地,所有网络行为都应遵循相应的法律和道德规范。这意味着在进行网络安全操作、研究或测试时,必须确保所有活动都有适当的授权,并且不违反任何法律。
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 17万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
测试 - 用例
weixin_59551524的博客
06-27 2826
测试 - 用例
软件测试面试题整理(七)之性能安全
weixin_45912307的博客
11-06 3890
1. 安全测试怎么测试的? 安全测试我们常用的方法是:1,sql注入,2,xss脚本攻击,3,数据加密,4,权限控制运用扫描工具appscan扫描web系统。扫描app的一般用腾讯wetest 等平台测试。 测试前端(web)时我们首先检查检查一下用户的感敏信息有没有进行加密显示,通过Fiddle抓包工具检查一下用户的感敏信息有没有进行加密后传输如:用户密码,相应的银行卡,个人信息等,再到日志中搜索关键信息,搜索到,就泄密,存在安全漏洞,数据库中是否做了加密处理。还有就是把发送请求的数据篡改例如:打开fid
安全测试】可怕的越权
专业资深测试者,多年质量管理经验,浪迹网游、金融、房产、招聘及海外行业多年,CDSN百万原创阅读,公众号500+原创文章,提倡测试左移、风险、越权、假设、探索测试,喜欢用抽象思维模式思考和技术探讨,自动化、性能、安全测试实施者,感谢关注!
10-29 1993
之前看了一越权文章深受启发,于是就产生了下面的一系列想法,纯属个人观点,但不局限于此,如有更好想法的朋友,可留言自己观点。 一、登录权限越权 1、登录时长失效,这时当用户仍在此功能页面时,进行充值、付款测试,应是无法操作成功的,踢出到登录页面,并给出提示信息 2、A用户用B用户的登录权限做一系列业务操作 二、业务逻辑越权 1、业务状态越权 新创建的订单、已付款的订单...
渗透测试之AppScan
分享只为更好的获得
07-10 3万+
IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overf...
第2:关于企业安全测试的思考1
08-03
【企业安全测试】是保障企业信息系统安全的重要环节,主要包括渗透测试、安全众测以及自建SRC(应急响应中心)等模式。渗透测试是通过模拟黑客攻击来检测系统漏洞的方法,旨在帮助企业理解漏洞成因并提供修复建议。...
[测试开发技术] DevSecOps研发安全实践-测试.docx
10-21
1. 应用程序安全测试(AST):AST聚焦于应用程序的安全性,包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)和交互式应用程序安全测试(IAST)。SAST通过对源代码的分析查找安全漏洞,例如Coverity...
传统身份安全的局限性
trusfort的博客
10-08 424
为了应对这一现状,业界提出了“零信任”(Zero Trust)的安全模型,而身份安全正是零信任安全模型中最重要的一环。
ISO 26262标准下的汽车软件架构设计与安全要求
yayuanjingkeji的博客
10-08 461
ISO 26262标准下的汽车软件架构设计与安全要求ISO 26262标准,作为国际公认的汽车功能安全标准,为汽车电子和电气系统的软件开发提供了详尽的指导与规范。在汽车软件架构设计中,遵循ISO 26262标准不仅关乎产品的功能实现,更直接关系到车辆的安全性能。以下将从几个关键方面探讨ISO 26262标准下的汽车软件架构设计。
水库大坝安全监测预警系统守护大坝安全卫士
weixin_48039531的博客
10-08 1124
实现在线监测的地图显示、查看,包括监测设备的快速查询显示、监测数据展示、报警情况显示及监测数据曲线图的实时展示,通过系统主界面的显示功能,可以查看设备的位置、运行状态,掌握其水库库坝体浸润线及坝体内孔隙水压力、库内水位、水库出入入流量、降雨量、坝体位移的实时监测。然而,自然环境的复杂多变、材料老化、设计施工缺陷等因素都可能对大坝造成潜在威胁。互联共享:建立标准统一的数据交换与共享系统,实现对全省水库大坝安全监测信息的互联共享,横向实现与气象、水文、防汛等平台的对接,纵向实现部、省、市、县同步汇集共享。
三级等保对postgresql的安全要求配置
松果177的博客
10-08 356
三级等保对PostgreSQL的安全要求配置
注册安全分析报告:惠农网
Explinks的博客
10-08 527
惠农网创立于 2013 年,以农业互联网信息服务平台为基础,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “
OWASP发布大模型安全风险与应对策略(QA测试重点关注)
最新发布
longxiaotian718的博客
10-08 1179
随着深度学习技术的发展和研究的深入,未来大模型的攻防将在动态抗衡中不断升级,同时,大模型需要应对的新型安全威胁也将不断涌现和升级。ChatGPT 可能已经具备了某种意识,新的优先级的事情是要阻止超级人工智能干坏事。未来可能面临以下新型安全问题。一是自适应对抗攻击。随着大模型变得更加复杂,攻击者可能开发出能够自适应模型防御机制的高级对抗性攻击,这些攻击可能在大模型更新或变更时迅速演化。二是深度伪造与信任危机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值