安全测试总结--后端、前端、移动开发、大数据、Java、Python、Vue开发经验分享

安全测试总结

对jwt的安全测试方式总结
文章最后更新时间为：2019年11月22日 11:59:421. jwt简介相对于传统的session-cookie身份校验机制，Token Auth正在变得流行，也就是说把token信息全部存在于客户端。这篇文章就讲讲Token Auth的一种，jwt机制。jwt(JSON Web Token)是一串json格式的字符串，由服务端用加密算法对信息签名来保证其完整性和不可伪造。Token里可以包含
日期 2023-06-12 10:48:40
安全测试全面总结-11-安全测试流程 SDL 这个规范是资深安全工程师一定要学的是一个公司进行安全建设一定要看的
### 再次系统的整理一下深入一下安全测试 ### sdl是微软的，国内普遍试了了这个规范，因为国内的互联网崛起，急需一个安全规范，阿里是10年引入的，这是安全测试工程师，必然会提到的一个，sdl ### #### 具体的sdl的介绍，去官网看 ### 首先要进行安全培训静
日期 2023-06-12 10:48:40
安全测试全面总结-10-OWASP-ZAP工具使用
规则#### 输入网站可以自动化扫描不要随便使用第三方的扫描工具，扫描别人的网站，这是有法律风险的，别人可以告你的我们可以使用dvwa搭建的安全测试环境来做测试 ### 第一种，自动化扫描但是这种扫描出来的有限，因为系统登陆进进不去， #### 第二种，手动引导会启动一个浏览器，会打开我们的目标网站，然
日期 2023-06-12 10:48:40
安全测试全面总结-9-移动端安全问题 frida Xposed
#### #### #####
日期 2023-06-12 10:48:40
安全测试全面总结-8-CSRF漏洞
### 再次系统的整理一下深入一下安全测试 ### ### 这样我想起来了，一个案例，就是论坛诱导别人点击一个图片，图片是一个加载的是一个接口，这个接口是关注联盟的接口，一点击就关注了，这样就是一个csrf攻击， ### ## 图片的特点就是自动会发起一个get请求，然后去找这个图片， ###
日期 2023-06-12 10:48:40
安全测试全面总结-7- XSS漏洞
### 再次系统的整理一下深入一下安全测试 ### 这种是注入的js代码 ### xss漏洞也分成好多种，比如反射型比如存储型比如dom型，在owasp的官网有对xss漏洞的详细的讲解，可以看看， ### 看看打印cookie的案例
日期 2023-06-12 10:48:40
安全测试全面总结-6-SQL注入漏洞
### 再次系统的整理一下深入一下安全测试 ### ### ### 一个万能登陆sql 上面的结果永远都是true，登陆的时候这就很危险了，现在已经没有这种了， ### 看看上面这一段有问题的代码 ### 这样就可以使用单引号闭合前面的单引号，然后使用union 构造我们想要的语句，然后使用 --
日期 2023-06-12 10:48:40
安全测试全面总结-5-shell命令注入漏洞
### 再次系统的整理一下深入一下安全测试 ### ## 利用的是shell的机制，使用一些特殊的符号，注入一些自己的命令，看这个列子，通过echo;ls，查看到了当前文件夹下的文件，这种还可以使用其他的命令，获取到数据库的账号密码都是有可能的，这就是漏洞，所以如果你检查不够严格，就会被注入，
日期 2023-06-12 10:48:40
安全测试全面总结-4-安全测试工具BurpSuite，黑客必备
### 再次系统的整理一下深入一下安全测试 ### 这个工具，在黑客世界几乎是一个必备的工具，支持扩展插件，特别适合做渗透方面的测试，类似一个抓包工具，比如Charles，mitproxy 可以抓包，分析包的格式，包含一个安全扫描工具，但是是付费的， ## ### #### 使用就是先抓包
日期 2023-06-12 10:48:40
安全测试全面总结-3-基于OWASP-ZAP进行接口安全测试
### 再次系统的整理一下深入一下安全测试 ### #### owasp zap是一个开源的工具，建议新手使用这个工具，是owasp做的， wvs和appscan是收费的， burpsuite，上一个公司就使用的burpsuite，这是一个渗透测试的工具，有一部分功能是收费的，比如自动化扫描的工具， sqlmap是一个开源的sql扫描工具，这几个是全球比较知名的，
日期 2023-06-12 10:48:40
安全测试全面总结-2-安全测试模拟环境 dvwa
### 再次系统的整理一下深入一下安全测试 ### 如何搭建一个我们自己的安全测试环境，一 dvwa简介 Damn Vulnerable Web App (DVWA) is a PHP/MySQL 该死的脆弱的应用，就是模拟了一个脆弱的网站，然后你可以去攻击他，里面有很多的题目可以去做，可以设置网站的安全等级，破解越来越难，二，
日期 2023-06-12 10:48:40
安全测试全面总结-1-OWASP服务端安全测试体系
### 再次系统的整理一下深入一下安全测试 ### 正常用户操作网站正常的用户使用网站，app，会完成一系列的操作，数据的传输会进入服务器然后系统返回数据，这是一个正常的流程，然后测试工程师比较关注的是等价类，边界值，判定表，等办法，来完成功能的覆盖， ### 黑客操作网站我们也可以把黑客理解成为一种特殊的测试工程师，他们也关注等价类，边界值，判定表，等办法，但是他们
日期 2023-06-12 10:48:40
安全测试全面总结-11-安全测试流程 SDL 这个规范是资深安全工程师一定要学的是一个公司进行安全建设一定要看的
### 再次系统的整理一下深入一下安全测试 ### sdl是微软的，国内普遍试了了这个规范，因为国内的互联网崛起，急需一个安全规范，阿里是10年引入的，这是安全测试工程师，必然会提到的一个，sdl ### #### 具体的sdl的介绍，去官网看 ### 首先要进行安全培训静
日期 2023-06-12 10:48:40
安全测试全面总结-10-OWASP-ZAP工具使用
规则#### 输入网站可以自动化扫描不要随便使用第三方的扫描工具，扫描别人的网站，这是有法律风险的，别人可以告你的我们可以使用dvwa搭建的安全测试环境来做测试 ### 第一种，自动化扫描但是这种扫描出来的有限，因为系统登陆进进不去， #### 第二种，手动引导会启动一个浏览器，会打开我们的目标网站，然
日期 2023-06-12 10:48:40
安全测试全面总结-9-移动端安全问题 frida Xposed
#### #### #####
日期 2023-06-12 10:48:40
安全测试全面总结-8-CSRF漏洞
### 再次系统的整理一下深入一下安全测试 ### ### 这样我想起来了，一个案例，就是论坛诱导别人点击一个图片，图片是一个加载的是一个接口，这个接口是关注联盟的接口，一点击就关注了，这样就是一个csrf攻击， ### ## 图片的特点就是自动会发起一个get请求，然后去找这个图片， ###
日期 2023-06-12 10:48:40
安全测试全面总结-7- XSS漏洞
### 再次系统的整理一下深入一下安全测试 ### 这种是注入的js代码 ### xss漏洞也分成好多种，比如反射型比如存储型比如dom型，在owasp的官网有对xss漏洞的详细的讲解，可以看看， ### 看看打印cookie的案例
日期 2023-06-12 10:48:40
安全测试全面总结-6-SQL注入漏洞
### 再次系统的整理一下深入一下安全测试 ### ### ### 一个万能登陆sql 上面的结果永远都是true，登陆的时候这就很危险了，现在已经没有这种了， ### 看看上面这一段有问题的代码 ### 这样就可以使用单引号闭合前面的单引号，然后使用union 构造我们想要的语句，然后使用 --
日期 2023-06-12 10:48:40
安全测试全面总结-5-shell命令注入漏洞
### 再次系统的整理一下深入一下安全测试 ### ## 利用的是shell的机制，使用一些特殊的符号，注入一些自己的命令，看这个列子，通过echo;ls，查看到了当前文件夹下的文件，这种还可以使用其他的命令，获取到数据库的账号密码都是有可能的，这就是漏洞，所以如果你检查不够严格，就会被注入，
日期 2023-06-12 10:48:40
安全测试全面总结-4-安全测试工具BurpSuite，黑客必备
### 再次系统的整理一下深入一下安全测试 ### 这个工具，在黑客世界几乎是一个必备的工具，支持扩展插件，特别适合做渗透方面的测试，类似一个抓包工具，比如Charles，mitproxy 可以抓包，分析包的格式，包含一个安全扫描工具，但是是付费的， ## ### #### 使用就是先抓包
日期 2023-06-12 10:48:40
安全测试全面总结-3-基于OWASP-ZAP进行接口安全测试
### 再次系统的整理一下深入一下安全测试 ### #### owasp zap是一个开源的工具，建议新手使用这个工具，是owasp做的， wvs和appscan是收费的， burpsuite，上一个公司就使用的burpsuite，这是一个渗透测试的工具，有一部分功能是收费的，比如自动化扫描的工具， sqlmap是一个开源的sql扫描工具，这几个是全球比较知名的，
日期 2023-06-12 10:48:40
安全测试全面总结-2-安全测试模拟环境 dvwa
### 再次系统的整理一下深入一下安全测试 ### 如何搭建一个我们自己的安全测试环境，一 dvwa简介 Damn Vulnerable Web App (DVWA) is a PHP/MySQL 该死的脆弱的应用，就是模拟了一个脆弱的网站，然后你可以去攻击他，里面有很多的题目可以去做，可以设置网站的安全等级，破解越来越难，二，
日期 2023-06-12 10:48:40
安全测试全面总结-1-OWASP服务端安全测试体系
### 再次系统的整理一下深入一下安全测试 ### 正常用户操作网站正常的用户使用网站，app，会完成一系列的操作，数据的传输会进入服务器然后系统返回数据，这是一个正常的流程，然后测试工程师比较关注的是等价类，边界值，判定表，等办法，来完成功能的覆盖， ### 黑客操作网站我们也可以把黑客理解成为一种特殊的测试工程师，他们也关注等价类，边界值，判定表，等办法，但是他们
日期 2023-06-12 10:48:40
WEB漏洞攻防 - SQL注入 - 安全测试思路总结
SQL注入-安全测试思路总结漏洞判定-黑盒&白盒漏洞利用参数类型 --> 符合闭合数据库类型 --> payload攻击语句及攻击思路数据提交方
日期 2023-06-12 10:48:40
WEB漏洞攻防 - SQL注入 - 安全测试思路总结
SQL注入-安全测试思路总结漏洞判定-黑盒&白盒漏洞利用参数类型 --> 符合闭合数据库类型 --> payload攻击语句及攻击思路数据提交方
日期 2023-06-12 10:48:40
《WEB安全渗透测试》（34）记一次攻防演练之红队总结
本次攻防演练不允许使用钓鱼、社工、无线等方式，要求从互联网侧发现安全隐患。 1.资产发现资产发现很重要，我们可以借助资产测绘平台：https://fofa.info/、https://hunter.qianxin.com/、https://quake.360.cn/等。以fofa为例，我们可以从以下几个方面搜索： domain="xxx.com
日期 2023-06-12 10:48:40
《网络安全测试实验室搭建指南》—第1章1.4节总结
本节书摘来自异步社区《网络安全测试实验室搭建指南》一书中的第1章1.4节总结，作者【美】Michael Gregg（迈克尔格雷格）,更多章节内容可以访问云栖社区“异步社区”公众号查看。 1.4 总结搭建你自己的网络安全实验室并把它作为进行网络安全实验的实验环境并不难，而且也不会特别昂贵。只要付出一些精力和时间，你不但能搭建一个良好的测试平台，还可以节省开支。把那些你可以直接使用的设备利用上，再
日期 2023-06-12 10:48:40