Web安全
摘要:
Web是一个窗口,一个平台,它像一艘船,承载着我们浏览网络海洋的风光,它让我们轻松的获得了很多,也让我们暴露了很多,给这扇窗加道护栏,给这个平台加道防护门,给这艘船装上安全系统,这样我们才能更轻松的欣赏网络。 阅读全文
posted @ 2013-09-23 22:01 hackchecker 阅读(234) 评论(0) 推荐(0) 编辑
基于DOM的XSS注入漏洞简单解析
摘要:
基于DOM的XSS注入漏洞简单解析http://automationqa.com/forum.php?mod=viewthread&tid=2956&fromuid=21 阅读全文
posted @ 2013-09-23 20:42 hackchecker 阅读(473) 评论(0) 推荐(0) 编辑
jQuery DOM XSS漏洞
摘要:
jQuery DOM XSS漏洞http://automationqa.com/forum.php?mod=viewthread&tid=2943&fromuid=21 阅读全文
posted @ 2013-09-19 16:46 hackchecker 阅读(986) 评论(0) 推荐(0) 编辑
亿能测试白盒安全测试模板V1.0发布
摘要:
亿能测试白盒安全测试模板V1.0发布http://automationqa.com/forum.php?mod=viewthread&tid=2911&fromuid=21 阅读全文
posted @ 2013-09-12 22:36 hackchecker 阅读(184) 评论(0) 推荐(0) 编辑
Java代码安全测试解决方案
摘要:
Java代码安全测试解决方案:http://gdtesting.com/product.php?id=106 阅读全文
posted @ 2013-08-25 19:05 hackchecker 阅读(624) 评论(0) 推荐(0) 编辑
关于Java安全的书
摘要:
关于Java安全的书http://automationqa.com/forum.php?mod=viewthread&tid=2831&fromuid=21 阅读全文
posted @ 2013-08-25 18:09 hackchecker 阅读(218) 评论(0) 推荐(0) 编辑
Spring安全资料整理列表
摘要:
Spring 被爆漏洞,允许远程执行代码http://automationqa.com/forum.php?mod=viewthread&tid=2827&fromuid=21Spring MVC防御CSRF、XSS和SQL注入攻击http://automationqa.com/forum.php?mod=viewthread&tid=2823&fromuid=21Spring官方安全公告http://automationqa.com/forum.php?mod=viewthread&tid=2828&fromuid=21Spring和Djang 阅读全文
posted @ 2013-08-24 17:06 hackchecker 阅读(231) 评论(0) 推荐(0) 编辑
Find Security Bugs研究,邀请志同道合者一起参与
摘要:
Find Security Bugs研究,邀请志同道合者一起参与http://automationqa.com/forum.php?mod=viewthread&tid=2803&fromuid=21 阅读全文
posted @ 2013-08-22 12:01 hackchecker 阅读(158) 评论(0) 推荐(0) 编辑
IBM发布AppScan Source 8.7:减少iOS企业级应用安全风险
摘要:
IBM发布AppScan Source 8.7:减少iOS企业级应用安全风险http://automationqa.com/forum.php?mod=viewthread&tid=2570&fromuid=21 阅读全文
posted @ 2013-07-28 10:43 hackchecker 阅读(351) 评论(0) 推荐(0) 编辑
安全测试电子书大全[持续更新]
摘要:
安全测试电子书大全[持续更新]http://automationqa.com/forum.php?mod=viewthread&tid=2518&fromuid=21 阅读全文
posted @ 2013-07-23 08:23 hackchecker 阅读(240) 评论(0) 推荐(0) 编辑
开源安全测试 - BackTrack的应用
摘要:
开源安全测试 - BackTrack的应用:http://gdtesting.com/product.php?id=99 阅读全文
posted @ 2013-07-02 16:49 hackchecker 阅读(176) 评论(0) 推荐(0) 编辑
全球5大安全工具Linux发行版本
摘要:
全球5大安全工具Linux发行版本http://automationqa.com/forum.php?mod=viewthread&tid=2314&fromuid=21 阅读全文
posted @ 2013-07-02 00:24 hackchecker 阅读(271) 评论(0) 推荐(0) 编辑
衣联网络-亿能测试 安全测试沙龙 PPT资料免费下载
摘要:
衣联网络-亿能测试 安全测试沙龙 PPT资料免费下载http://automationqa.com/forum.php?mod=viewthread&tid=2304&fromuid=29 阅读全文
posted @ 2013-06-30 11:36 hackchecker 阅读(165) 评论(0) 推荐(0) 编辑
亿能测试培训中心 拟于 6月8日(周六)上午 举行一个 技术讲座(免费)
摘要:
亿能测试培训中心 拟于 6月8日(周六)上午 举行一个 技术讲座(免费)http://gdtesting.cn/news.php?id=31 阅读全文
posted @ 2013-06-02 17:31 hackchecker 阅读(123) 评论(0) 推荐(0) 编辑
衣联网络-亿能测试 安全测试沙龙 之 "Web安全挑战,企业做好应对了吗?"
摘要:
衣联网络-亿能测试 安全测试沙龙 之 "Web安全挑战,企业做好应对了吗?"http://automationqa.com/forum.php?mod=viewthread&tid=1932 阅读全文
posted @ 2013-05-23 15:12 hackchecker 阅读(140) 评论(0) 推荐(0) 编辑
用ModSecurity+PhantomJS进行服务器端XSS攻击检测
摘要:
用ModSecurity+PhantomJS进行服务器端XSS攻击检测Server-Side XSS Attack Detection with ModSecurity and PhantomJShttp://blog.spiderlabs.com/2013/02/server-site-xss-attack-detection-with-modsecurity-and-phantomjs.html 阅读全文
posted @ 2013-03-14 10:54 hackchecker 阅读(517) 评论(0) 推荐(0) 编辑
本周六 广州 软件安全测试 研讨会
摘要:
本周六 广州 软件安全测试 研讨会 阅读全文
posted @ 2013-01-09 11:47 hackchecker 阅读(137) 评论(0) 推荐(0) 编辑
网页安全漏洞检测 - 隐藏字段
摘要:
一些设计不当的网站系统可能包含很多可以被利用的安全漏洞,这些安全漏洞如同给远程攻击者开了一个后门,让攻击者可以方便地进行某些恶意的攻击。例如,公共漏洞和披露网站CVE(Common Vulnerabilities and Exposures)公布了Element InstantShop中的Web网页add_2_basket.asp的一个漏洞项,允许远程攻击者通过隐藏的表单变量“price”来修改价格信息。这个表单的形式如下所示:<INPUT TYPE = HIDDEN NAME = "id" VALUE = "AUTO0034"><IN 阅读全文
posted @ 2012-09-11 09:44 hackchecker 阅读(1203) 评论(0) 推荐(0) 编辑
WEB应用安全测试解决方案
摘要:
WEB应用安全测试解决方案:http://gdtesting.com/product.php?id=21 阅读全文
posted @ 2012-07-31 23:22 hackchecker 阅读(425) 评论(0) 推荐(0) 编辑
WEB安全测试实战训练周末精品班课程圆满结束!
摘要:
WEB安全测试实战训练周末精品班课程圆满结束!http://www.gdtesting.com/news.php?id=28 阅读全文
posted @ 2012-03-11 21:03 hackchecker 阅读(236) 评论(0) 推荐(0) 编辑
周末、广州、WEB安全测试实战训练
摘要:
周末、广州、WEB安全测试实战训练:http://www.gdtesting.com/product.php?id=22 阅读全文
posted @ 2012-03-05 09:52 hackchecker 阅读(281) 评论(0) 推荐(0) 编辑
高级软件测试工程师系列课程
摘要:
高级软件测试工程师系列课程:http://www.automationqa.com/uchome/space.php?do=event&id=15 阅读全文
posted @ 2012-02-10 20:40 hackchecker 阅读(439) 评论(0) 推荐(0) 编辑
.NET安全测试教程
摘要:
.NET安全测试教程 :http://www.docin.com/p-334445924.html 阅读全文
posted @ 2012-02-02 22:02 hackchecker 阅读(355) 评论(0) 推荐(0) 编辑
关于HP WebInspect 9.1
摘要:
关于HP WebInspect 9.1:http://www.automationqa.com/uchome/space.php?uid=215&do=thread&id=94 阅读全文
posted @ 2012-02-02 21:23 hackchecker 阅读(722) 评论(0) 推荐(0) 编辑
《Hacking the Code ASP.NET Web Application Security》电子书下载
摘要:
《Hacking the Code ASP.NET Web Application Security》电子书下载:http://ishare.iask.sina.com.cn/f/22919798.html《Hacking the Code ASP.NET Web Application Security》读书笔记:http://www.docin.com/p-332334758.html 阅读全文
posted @ 2012-01-30 10:18 hackchecker 阅读(360) 评论(0) 推荐(0) 编辑
《Beginning ASP.NET Security》电子书下载
摘要:
《Beginning ASP.NET Security》电子书下载:http://ishare.iask.sina.com.cn/f/22795785.html学习笔记:http://www.docin.com/p-329123340.html 阅读全文
posted @ 2012-01-22 00:12 hackchecker 阅读(234) 评论(0) 推荐(0) 编辑
《Google Hacking for Penetration Testers》电子书下载
摘要:
《Google Hacking for Penetration Testers》电子书下载:http://ishare.iask.sina.com.cn/f/22869833.htmlGoogle Hacking for Penetration Testers_读书笔记:http://www.docin.com/p-329106488.html 阅读全文
posted @ 2012-01-21 23:28 hackchecker 阅读(687) 评论(0) 推荐(0) 编辑
浅谈CSRF攻击方式
摘要:
作者:黑测工作室 核心成员 陈曦明http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人.. 阅读全文
posted @ 2012-01-13 20:10 hackchecker 阅读(474) 评论(0) 推荐(1) 编辑
大家还在迷信工具么?
摘要:
做web的安全测试也有些日子了,以前没有到这个版块来过,今天看了看版面上大家都在讨论工具如何如何使用,而很少讨论安全漏洞的原理,我就给大家泼泼凉水,谈谈工具的局限。先说下扫描工具的原理:扫描工具可以看做由两部分组成:爬虫+校验机构。爬虫的作用是搜集整个被采集对象的链接,然后校验机构对这些链接逐一进行验证。然后说扫描工具的局限:局限1:扫描未必全面一个网站,能不能被扫描全面,很大程度取决于爬虫搜集链接的能力。我做过爬虫的测试,所以大致知道爬虫的原理,就是对给定的入口地址发起请求,然后从返回的内容中抽取链接,然后再请求抽取到的链接,如此反复。包含在HTML中的链接,很容易被抽取到,但是由js生成的 阅读全文
posted @ 2012-01-11 16:44 hackchecker 阅读(801) 评论(1) 推荐(0) 编辑
个人认为最好的SQL注入教程
摘要:
个人觉得这篇文章讲的很浅显易懂,例子也比较恰当,而且SQL注入的形成原理和防范措施都介绍到了,比较适合入门者http://en.wikipedia.org/wiki/SQL_injection 阅读全文
posted @ 2012-01-09 17:30 hackchecker 阅读(3519) 评论(0) 推荐(0) 编辑
11个免费的Web安全测试工具
摘要:
1.Netsparker Community Edition(Windows)这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。2.Websecurify(Windows, Linux, Mac OS X)这是个简单易用的开源工具,此程序还有一些人插件支持,可以自动检测网页漏洞。运行后可生成多种格式的检测报告3.Wapiti(Windows, Linux, Mac OS X)这是一个用Python编写的开源的工具,可以检测网页应用程序,探测网页中存在的注入点。4.N-Stalker Free Version(Windows)此工具可一次检测100个以上的页面,包 阅读全文
posted @ 2012-01-08 19:06 hackchecker 阅读(25994) 评论(0) 推荐(6) 编辑
AQA(www.AutomationQA.com)开始连载《Web Security Testing Cookbook》学习笔记
摘要:
AQA(www.AutomationQA.com)开始连载《Web Security Testing Cookbook》学习笔记:http://www.automationqa.com/uchome/space.php?uid=215&do=blog&id=557 阅读全文
posted @ 2012-01-07 10:14 hackchecker 阅读(392) 评论(0) 推荐(0) 编辑
常用渗透性测试工具
摘要:
常用渗透性测试工具原文:http://hi.baidu.com/m_i_i_m/blog/item/49cf8f35fbec7eb1d1a2d366.html对一个应用项目进行渗透性测试一般要经过三个步骤。 第一步,用一些侦测工具进行踩点,获得目标的基本信息。 第二步通过漏洞扫描工具这类自动化测试工具获取目标的漏洞列表,从而缩小测试的范围。 第三步利用一些灵活的代理,请求伪造和重放工具,根据测试人员的经验和技术去验证或发现应用的漏洞。 在此过程中需要利用一些工具,这些工具包括: 1、Metasploit:开源的,2004年发展起来的一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试 阅读全文
posted @ 2012-01-06 16:56 hackchecker 阅读(9331) 评论(0) 推荐(1) 编辑
7月WEB安全测试实战训练课程
摘要:
7月WEB安全测试实战训练课程:http://gdtesting.cn/news.php?id=34 阅读全文
posted @ 2012-01-04 11:07 hackchecker 阅读(904) 评论(0) 推荐(0) 编辑
来自乌云的安全建议
摘要:
原文:http://news.csdn.net/a/20111229/309875.html编者按:近日,互联网厂商信息泄漏事件层出不穷,给大量用户带来困扰与不便。在这过程中,乌云(wooyun.org)引起了人们众多关注,作为一个厂商和安全研究者之间的安全问题反馈平台,乌云提供给互联网公司很多漏洞及风险报告,帮助他们防患于未然,下面是乌云对此次安全事件的建议。迄今为止,越来越多的公司被卷入数据泄密事件当中,其中最让人担忧的就是用户的账户密码信息,一旦账户密码信息被获取,攻击者就可以借用账户密码去登录用户的业务系统,获取相应的信息。譬如登录进游戏系统窃取装备,登录进微博发广告或者欺诈信息,登录 阅读全文
posted @ 2012-01-04 10:24 hackchecker 阅读(341) 评论(0) 推荐(0) 编辑
黑客教父详解账号泄露全过程:1亿用户已泄露
摘要:
原文:http://www.it-times.com.cn/hulianwang/1632.jhtml 2011年12月19日有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发,其后的48小时,中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。 龚蔚表示,本次黑客公布的用户账号约为1亿个用户账号及密码相关信息,预计地下黑客掌握了更多的互联网用户账号信息,本次泄露及公布的与实际被黑客掌握的用户账号数相比只是冰山一角,预计有将近4到6亿的用户账号信息在黑客地下领域流传(2011年互联网数据统计,中... 阅读全文
posted @ 2012-01-04 10:20 hackchecker 阅读(657) 评论(0) 推荐(0) 编辑
浙江电信网上营业厅的一个BUG
摘要:
原文:http://www.cnblogs.com/jintianhu/archive/2011/08/28/2156372.html前几天看到浙江电信网上营业厅在搞签到得米粒的活动,每天可签到一次,每次获得一个米粒,首次签到可以获得21个米粒。我玩了几天,发现了它的一个BUG。我们先看看页面,地址是http://zj.ct10000.com/qiandao 点击后就变灰了,当天就不能再次点了,如下图所示:先来看看页面代码吧,用开发人员工具很容易就找到下面这个JS方法注意红框的代码,它是根据前台传过去的参数来判断是否首次登陆。那么如果我们每次都传“登陆首次积分”这个字符串过去呢?测试一下,先. 阅读全文
posted @ 2012-01-04 09:42 hackchecker 阅读(495) 评论(0) 推荐(0) 编辑
从团购网的漏洞看网站安全性问题
摘要:
原文:http://www.cnblogs.com/jintianhu/archive/2011/01/03/1924989.html自从9月份在同事推荐下在某团购网买了一份火锅的套餐后,就迷上了,几乎每天必去浏览一遍,看看有什么又便宜又好吃的。元旦期间当然也不例外,1号那天上午,看到了XXX团购网的“VIP会员0元领红包”活动,0元?我最喜欢了,虽然参与过很多次0元抽奖的活动,一次也没中,但是人总是有一种信念相信自己的运气的。于是果断进去注册,点击购买,进入了购物车再点击确认订单,恩?怎么alert这么一句“本活动只限VIP会员参与”?我第一反应是去看页面源代码(由于该活动已经结束,进不去购 阅读全文
posted @ 2012-01-04 09:37 hackchecker 阅读(434) 评论(0) 推荐(0) 编辑
团购网站安全性普遍堪忧
摘要:
十一黄金周让团购市场再火了一把,“砸金蛋”、“领红包”等团购优惠活动更是如火如荼。然而据360安全中心今日发布的《中国团购网站安全检测报告》显示,目前国内团购网站安全性参差不齐,约70.6%的网站存在高危漏洞,主要为中小型团购网站,可能被黑客利用漏洞无限次砸金蛋、领红包,甚至盗走其他团购用户的密码和消费凭据。为保护团购用户个人信息和消费安全,360总裁齐向东宣布:网站安全性一直是360团购导航收录和推荐团购网站的重要标准。不仅如此,360网站安全检测平台(http://webscan.360.cn)还将为所有团购网站免费提供漏洞检测与修复建议,以帮助其全面修复漏洞。七成团购网站存在高危漏洞10 阅读全文
posted @ 2012-01-04 09:28 hackchecker 阅读(263) 评论(0) 推荐(0) 编辑
调查:40%移动程序未能通过安全测试
摘要:
数字监识与安全服务供应商viaForensics近日公布了一项针对iOS与Andoid平台百大移动程序的安全测试报告,显示只有17%的程序完全通过安全测试,高达40%未能通过,其余程序则取得了漏洞警告。以程序类别来区分,viaForensics所测试的金融程序所曝露的资料远比社交网络程序少,约有近75%的社交网络未能通过安全测试,但只有25%的金融程序没通过安全测试。没通过安全测试的生产力程序有43%,没通过安全测试的零售程序有14%。虽然未通过安全测试的零售程序比例很低,然而,其余的零售程序都得到漏洞警告,没有任何零售程序完全通过该测试,归纳其主要原因来自于相关程序多半储存了搜索历史纪录.. 阅读全文
posted @ 2012-01-02 21:57 hackchecker 阅读(243) 评论(0) 推荐(0) 编辑
