- 博客(44)
- 资源 (23)
- 收藏
- 关注
RSS订阅转载 代码审计工具Checkmarx ActiveMQ 密码错误
我公司质量管理部门应机房运维服务人员要求,需要对代码审计服务器进行操作系统升级,由windows server 2012 R2升级至windows server 2016,除Checkmarx外其他工具均能正常使用。由于中途Checkmarx程序包部分数据错乱,导致CxSasResults服务启动失败,扫描代码失败。
2023-02-01 16:37:42
335
转载 [等保测评]Web应用防火墙WAF产品汇总
WAF可以看成是Web业务抵挡攻击的第一道防线,也是企业安全体系建设的一个重要环节。安全是处于长期动态发展的过程,保持敬畏和进步才能在攻防中争取到主动。
2023-01-29 20:25:55
619
转载 代码审计工具Checkmarx安装环境和安装过程
Checkmarx是以色列研发的一款代码审计工具,使用.NET开发,CheckMarx CsSAST仅仅支持windows安装,只有代码扫描引擎(code Engine)支持linux和windwos。
2023-01-29 19:52:51
1269
原创 记一次SQL注入,sqlmap1.6.5隐藏默认的User-Agent
但是sqlmap版本不同其修改方式也就不同,作者对option.py和sqlmap.conf文件进行了各种修改,但是User-Agent仍然没有修改成功。最后查看了lib/core下settings.py文件,里面有我们需要的默认字段。
2022-05-10 19:35:30
944
1
原创 项目分包后出的测评报告能盖cnas/cma标识章吗
对于业主方的测评需求,实验室专家组与评审组深入沟通,得出结论:对于测评对象为系统中的分包工程或者某几个模块的,测评完毕后是可以在测评报告封面中加盖CMA或CNAS标识章,并在报告中备注分包项目、开发单位以及其资质认定证书编号。
2022-03-31 08:43:59
731
原创 信息系统等级保护(等保)政策法规、分类及备案流程
信息系统等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
2022-03-31 08:30:13
1088
转载 软件产品确认测试
我们依据《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51 部分: 就绪可用软件产品(RUSP)的质量要求和测试细则》GB/T 25000.51-2016国家认可标准软件测试资质对被测试对象提供产品确认测试,软件产品确认测试报告对企业、单位申报国家科技成果奖的技术鉴定依据、企业申请的企业创新基金、科技项目验收、科技成果鉴定、自主创新产品验收等任务,为软件企业全面度量产品质量并查找软件功能和性能缺陷,提供有力的CNASCMA资质报告证明。
2022-03-30 09:49:01
654
转载 软件验收测试标准和流程
软件验收测试即由项目承建方或者业主方按照相关需求标准提供的需求文档中所有内容,或者按合同或者《任务书》,及其它有效约定,对方承诺实现的需求等进行开发、内测完毕,提交版本符合软件验收测试评价标准,通过第三方软件评测机构进行的测试。通过第三方验收测试判断产品质量是否符合产品需求,功能实现是否正确。
2022-03-17 09:07:49
3086
转载 软件产品性能测评
性能测试是重要的软件测试类型之一,有助于确定应用程序在工作负载下的性能,比如响应能力、可扩展性、可靠性、速度和稳定性等。性能测试对发现错误毫无帮助,但可以消除性能瓶颈,并改善整个应用程序的性能。
2022-03-17 09:00:20
587
转载 49种软件验收测试方法大分享,快来看
涨知识的时间到了,以下总共49种软件验收测试方法,您又知道哪几种呢?来看看,数一数吧!β测试_Beta测试β测试,英文是Beta testing。又称Beta测试,用户验收测试(UAT)。β测试是软件的多个用户在一个或多个用户的实际使用环境下进行的测试。开发者通常不在测试现场,Beta测试不能由程序员或测试员完成。当开发和测试根本完成时所做的测试,而最终的错误和问题需要在最终发行前找到。这种测试一般由最终用户或其他人员员完成,不能由程序员或测试员完成。α测试_Alpha测试α测试,英
2022-03-14 11:27:06
1715
转载 软件产品选型测试/POC测试
针对委托方提出的选型测试需求,对多项备选系统或产品的技术指标进行测试,向委托方公布备选系统或产品各项技术指标的客观测试结果。产品选型测试(也叫POC测试)不仅是为了帮助客户从功能、性能、安全性、可靠性、易用性等多维度“挑好东西”,还要根据业务特征和真实场景需求“挑对东西”。
2022-03-06 17:17:17
3667
转载 网络安全问题日趋严峻
以云计算、大数据、人工智能、物联网为代表的新兴技术的快速发展,网络安全风险全面泛化,复杂程度也在不断加深。特别是随着新冠肺炎疫情的蔓延,在加速企业数字化转型的进程的同时,也让网络安全风险开始遍布在越来越多的场景之中。近年尽管国家高举网络安全保障大旗,但是网络安全问题还是日趋严峻,各地发生多起重大网络安全事件,既有公民信息遭泄露,也发生多起因为遭遇勒索软件攻击而被迫停工停产事件。2021年已经结束,来盘点一下2021年国内发生的网络安全事件,其中有数据泄密、网络攻击案例。1、针对农信社和城商行的短
2022-03-06 16:21:19
529
转载 信息系统验收测试
通过第三方软件验收测试外包,可找出项目中可能存在的问题和不足,并进行最后的修正,以使项目成果完美的交付到最终使用人员手中。由我北京软件评测公司出具的软件验收测试报告将对软件是否满足开发方与用户的合同约定,给出公正、科学、权威的质量评价,已成为项目投资方、项目用户单位进行软件验收的主要依据。
2022-03-06 13:12:27
676
原创 《软件登记测试报告》可以作为软件第三方检测报告使用吗
《软件登记测试报告》本身属于第三方软件检测报告,但是从软件登记测试与其他软件检测类型来看,测试内容和测试强度是不同的,并且测试报告使用目的还是有所不同的。软件登记测试内容1、功能性:系统安装卸载、功能模块挂接、功能模块实现2、安全可靠性:软件容错性、安全保密性、稳定性3、用户界面:界面输入、界面显示、界面文字4、中文特性:界面中文符合性、软件提示中文符合性、字库中文符合性、产品包装盒说明本地化5、用户文档:完备性、正确性、一致性主要是检测软件是否达到了需求要求的“基本”实现,
2022-03-05 19:30:56
826
原创 了解一下手机终端软件产品专项技术测试
最近几年APP专项测试越来越受大家关注,作为一个CNAS资质中间服务商如何出具一份合格的CNAS检测报告至关重要,下面来重点说一下APP专项测试及检测报告。
2022-03-04 10:24:17
1189
转载 第三方软件测试(软件检测)收费标准
最近有很多咨询“第三方软件测试”、“第三方软件检测”、“第三方验收测试”收费标准的业主,本公司客服小姐姐整理了一下客户的咨询情况,主要包括功能验收测试、性能验收测试、第三方安全测试、源代码安全、APP专项测试等测试范围。
2022-02-28 12:18:46
2571
原创 软件产品检测报告是软件企业成功退税的必要的材料之一
根据《财政部、国家税务总局关于软件产品增值税政策的通知》(财税〔2011〕100号)第一条规定,企业增值税一般纳税人按照法律要求,在其市场经济条件下销售生产的软件产品,按17%的税率征收增值税后,对其增值税实际税负超过3%的部分实行即征即退政策(退税政策)。
2022-02-25 11:14:15
670
原创 性能工具与应用程序响应时间之间的差别
发现LoadRunner 分析报告中的“缴费”等事务响应时间始终比目标测试模块日志统计到的时间多了200ms 左右。
2022-02-23 14:05:05
195
原创 HTTP请求方法
1引言HTTP请求方法,码农们使用起来大概早已游刃有余,但是至于理论原理,代码规范未必全然了熟于胸,即所谓指下生风,胸无点墨。今天咱们就好好说道说道这HTTP请求方法到底都有啥,值得一探究竟。2背景知识回顾 2.1 HTTP请求方法简介HTTP协议,即超文本传输协议,用于实现客户端与服务器端之间的通信。工作方式是请求-应答模式。web浏览器就是常见的客户端,提供应用的服务器作为服务器端。客户端与服务器端之间的交互逻辑关系如下图所示: ...
2022-02-23 13:52:04
1880
原创 Oracle 19C优化器中自动使用了filter操作
11g和19c的执行计划有一个很明显的差别就是filter操作,在19c环境中优化器居然自动选择了filter"连接方式"。filter被称为改良的nested loop,这个"改良",体现在驱动表连接列的重复值很多时,filter的性能会稍优于nested loop,而代价是一旦SQL使用了filter连接方式,驱动表只能固定为"外表"无论驱动表返回的结果是否足够小。
2022-02-23 13:41:49
1766
1
原创 检测报告上CNAS、CMA资质含义及联系
实验室认可工作是中国完全与国际惯例接轨的一套国家实验室认可体系, 目前已有亚太、 欧洲、 南非和南美洲等地区实验室认可机构承认其认可结果。
2022-02-23 08:53:34
2454
原创 第三方CNAS验收评测的重要意义
软件从最简单的家用电冰箱到工业生产,涉及方方面面。“以前软件中的问题只是个人重启一下机器的小事情,但如今软件已在大型工业中发挥越来越大的作用。软件安全与质量的隐患已可能对人身安全和环境造成威胁。”
2022-02-23 08:48:36
871
原创 拍一拍,第三方性能测试报告中的主要性能指标
在我们一份第三方性能测试报告中主要包括常规性能测试指标、稳定性测试指标以及资源利用率性能指标,通过这些性能测试技术指标来判断信息系统性能是否满足业务方要求,是否符合验收标准,通过性能测试,获得服务器运行时的相关数据,从而分析出系统瓶颈,提高系统的稳定性。
2022-02-22 10:48:33
563
原创 一文说清linux system load
压测过程中,常见的问题之一就是load 飙高,通常这个时候业务上都有受影响,比如服务rt飙高,比如机器无法登录,比如机器上执行命令hang住等等。本文就来说说,什么是load,load是怎么计算的,什么情况下load 会飙高,load飙高是不是必然业务受影响。
2022-02-21 15:18:19
102
转载 如何避免Web应用程序安全测试中的API盲区?
应用编程接口(API)是现代Web应用程序开发的一个重要部分,它们在整个Web攻击面中占有相当大的比重。在现实世界中,企业进行Web应用程序安全测试时覆盖整个攻击面,同时又满足测试准确性和工作流高效集成之类的需求,是一项艰巨的任务。现代应用程序远不止一堆网页,它们是通过API进行联系的一堆复杂的Web服务。那么,如何确保这些Web API的安全呢?不仅仅保护可见网页测试软件安全的方法有多种,但任何AppSec(现代应用程序安全)工具箱都应该起码包括动态测试(DAST,即...
2022-02-21 14:50:57
93
转载 服务器入侵怎么快速排查
作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。
2022-02-21 09:57:27
61
原创 渗透测试该如何选择?
渗透测试可以让企业了解现有安全措施的成效或不足,进而帮助其调整安全项目,并主动发现漏洞。虽然大多数企业熟悉并进行手动渗透测试,但近年来自动渗透测试成为一种备受关注的选择。自动渗透测试与手动渗透测试孰优孰劣?不妨比较一下各自的优缺点。
2022-02-20 11:51:49
3379
原创 数据库压力测试就是这么简单
很多人提到jmeter时,只会说到jmeter进行接口自动化或接口性能测试,其实jmeter还能对数据库进行自动化操作。个人常用的场景有以下:
2022-02-20 11:42:14
226
原创 利用Fiddler接口工具来辅助测试
fiddler是一款好用的web调试工具,能够记录客户端发出的所有http和https请求(tcp的不支持).虽然是一款调试工具,但是在测试或者分析系统的时候,是一个非常好用的软件。
2022-02-20 11:39:13
150
原创 第三方软件检测报告有效期几年?
目前行业人员所接触的《软件检测报告》,大部分都是业主方通过向软件评测实验室进行“委托”来进行的测试,符合相关标准和《任务书》要求后实验室出具对应的《软件检测报告》,符合国家资质要求的检测报告主要是“CNAS检测报告”。而“委托检测”就是指的企业把样品委托给获得国家检测资质的检测机构(软件评测实验室)进行符合国家标准的公证性的软件评测,为第三方检测结果。委托检测是对“来样”软件产品负责,即检测结果的准确性只针对业主方所送的样品。委托检测报告仅仅是代表业主方当前“送样”的软件产品和软...
2022-02-20 11:35:15
1093
转载 信息系统等保测评
信息系统等级保护(简称:等保)是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
2022-02-17 16:35:13
1145
原创 SQLServer 2008数据库查看死锁、堵塞的SQL语句
死锁和堵塞一直是性能测试执行中关注的重点。下面是我整理的监控sql server数据库,在性能测试过程中是否出现死锁、堵塞的SQL语句,还算比较准备,留下来备用。--每秒死锁数量SELECT *FROM sys.dm_os_performance_countersWHERE counter_name LIKE 'Number of Deadlocksc%';--查询
2012-11-08 15:03:17
4644
原创 .NET程序内存分析工具CLRProfiler的使用(性能测试)
大家都知道.net有一套自己的内存(垃圾)回收机制,除非有一些数据(方法)长期占有内存不随着垃圾回收功能而释放内存,这样就造成了我们经常说的内存泄露、内存持续增长得不到释放等问题导致APS.net网站或者C/S应用程序的用户无法正常使用。最终会导致用户通过客服人员或者技术支持人员投诉公司的技术部门,形成一连串的未知的不良反映。 不管哪位性能测试人员,遇到这样的问题都是摸不着头脑,不知从何处
2012-11-07 18:06:28
11369
原创 Linux下安装memecache缓存程序
Memcache是一个高性能的分布式的内存对象缓存系统,通过在内存里维护一个统一的巨大的hash表,它能够用来存储各种格式的数据.简单的说就是将数据调用到内存中,然后从内存中读取,从而大大提高读取速度。安装平台:centos4.7虚拟机环境:mysql+apache+PHP5所用到的安装包:Libevent(memcached用到了libevent这个库,在编译时用到)下载:htt
2012-11-05 14:12:58
917
原创 memcache的带图形界面监控工具memcachephp
memcache也有一款图形界面的监控工具(memcachephp),可以通过这个工具查看到局域网内所有部署memcache机器或者端口的memcache的运行情况,对我们监控memcache的缓存命中率、cache利用率、点击率等信息有很好的帮助作用。图形界面工具的推出,有助于我们性能测试工程师脱离命令行方式,避免多个memcache端口的监控窗口来回切换,更能够让测试人员有足够多的时间去做其他
2012-11-05 12:32:13
7877
原创 phpredisadmin安装过程
前面一篇已经向大家介绍了《redis的图形界面管理工具:phpredisadmin》,URL:http://blog.csdn.net/wy3552128/article/details/8145319下面来说一下它的安装,说白了吧,phpredisadmin工具就是一个放在Apache或者nginx下web根目录下的网站。平台:VMware上虚拟的centos4.7宿主机
2012-11-04 14:06:23
5380
原创 redis的图形界面管理工具:phpredisadmin
大部分人都知道redis是一款用在缓存服务器上的软件,它与memcache类似,都可以存储海量的数据,用在大访问量的web网站、聊天记录存放等方面,但是又与memcache不同:1、缓存数据可以持久化,没有缓存时间限制2、支持更多的数据类型:string、list 、set 、sorted set 、hash (参考:http://www.cnblogs.com/xhan/archive/
2012-11-04 11:33:05
10767
4
原创 Linux下Redis的安装、配置操作说明
Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类keyvalue存储的不足,在部分场合可以对关系数据库起到很好的补充作用。它提供了Python,Ruby,Erlang,PHP客户端,使用很方便。以下是安装测试步骤:1,redis安装:[root@localhost ~]# cd /usr/local/src
2012-11-03 21:42:12
1303
代码审计工具Checkmarx安装环境和安装过程.pdf
2023-01-29
kali-2022.1_iso百度网盘下载
2022-05-08
kali2022.1 vmware版本下载
2022-05-08
经典的英语词性大全+详解
2021-02-23
python 数据驱动ddt模块下载
2018-01-30
python 自动化接口 requests模块
2018-01-30
memcache图形监控工具phpmemcache
2012-11-05
redis的管理工具phpRedisAdmin tar.gz格式的
2012-11-04
jmeter ms sqlserver JDBC驱动类(下载后zip改jar)
2012-09-11
Office+Tab+8.0+(工具和补丁)
2012-04-23
webscarab-one-20110329-1330(最新版)
2012-04-23
nmon分析工具nmon_analyser V3.3.e
2011-08-20
关键字排名查询工具-SEO
2011-04-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人