随笔分类 - 安全测试
摘要:为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。最好使用ie7来测试。 方法一: 查看代码,查找关键的变量, 客户端将数据传送给Web 服务端一般通过三种方式 Query
阅读全文
摘要:1 常用操作系统扫描工具介绍 1.1 CIS-CAT 【功能】 可以根据不同的操作系统,选择不同的基准进行系统漏洞扫描。 【适用对象】 Unix/Linux,MS Windows,并且这些系统上装了java 5或以上。 本文主要介绍在Linux下的用法 1.1.1 扫描准备 将工具解压到目标Linu
阅读全文
摘要:测试许多款 sql注入工具 最终还是发现 sqlmap 最为强悍 谁用谁知道!赶紧抛弃掉手上一大堆 sql 注入工具吧 : )测试环境:ubuntu 10.10 & windows 7(x64) sqlmap/1.0-dev (r4405) Python 2.7.2*高版本 python可能导致 s...
阅读全文
摘要:FreeBuf微科普:DoS(Denial Of Service)攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃(关于DDoS更多认识请点击这里)。然而随着网络上免费的可用DD...
阅读全文
摘要:数据库所有字段后都被恶意添加了估计是sql注入导致网上查询寻得了sql注入测试的强大软件sqlmap以下是sqlmap的使用方法当给sqlmap这么一个url的时候,它会:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种...
阅读全文
摘要:以下是整理的一些常见的安全渗透测试点1.用工具fidder抓包拦截篡改服务器端返回的代码,导致下级拥有对上级的访问操作权限以下是公司开发写的用户角色权限页面跳转修改普通角色跳转的页面为管理员跳转的页面 2.篡改传输的数据,积分兑换下订单,可以花别人的积分兑换东西送货到我想送的人和地址3.任意修改用户...
阅读全文
浙公网安备 33010602011771号