随笔分类 -  安全测试

摘要：基于安全的考虑，需要给cookie加上Secure和HttpOnly属性，HttpOnly比较好理解，设置HttpOnly=true的cookie不能被js获取到，无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true，那 阅读全文

摘要：Cisco有专门的网页版的AppScan，使用前需要向有关的team申请account和权限。 account和权限申请成功后，登录AppScan网站，创建自己的文件夹目录，然后在自己的目录下新建scan项目。 需要注意的是，如果你要测试的网站需要用户名密码登录，需要在advanced scan c 阅读全文

摘要：模糊测试（fuzz testing）是一种安全测试方法，他介于完全的手工测试和完全的自动化测试之间。为什么是介于那两者之间？首先完全的手工测试即是渗透测试，测试人员可以模拟黑客恶意进入系统、查找漏洞，这对测试人员的要求比较高。能力强的测试人员可以发现比较多或者高质量的安全性问题，但是如果测试人员的能 阅读全文