2012年1月1日

soapUI安全测试教程

摘要: soapUI安全测试教程:http://www.docin.com/p-318294582.html 阅读全文

posted @ 2012-01-01 22:33 hackchecker 阅读(1383) 评论(0) 推荐(0) 编辑

2011年12月29日

OWASP网站列出的安全工具

摘要: OWASP网站列出的安全工具:https://www.owasp.org/index.php/Phoenix/Tools 阅读全文

posted @ 2011-12-29 11:25 hackchecker 阅读(399) 评论(0) 推荐(0) 编辑

2011年12月28日

IBM AppScan 8.5

摘要: IBM AppScan 最新版本 8.5 ,修改了不少bug:http://www-01.ibm.com/support/docview.wss?uid=swg27023615#0APAR​Description​PM23122​Importing WSDL file into GSC takes 3 hours​PM25228​GSC could filter parameters with unknown XSD types.​PM27800​AppScan does not test error pages​PM28740​OS/WS/AS fields are not filled i 阅读全文

posted @ 2011-12-28 00:14 hackchecker 阅读(3088) 评论(1) 推荐(0) 编辑

2011年12月27日

Burp suite - 一款Web渗透测试的集成套件

摘要: Burp suite 是由portswigger开 发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利下载地址:http://portswigger.net/burp/download.htmlBurp Suiteis an integrated platform for performing security testing of web applications. Its 阅读全文

posted @ 2011-12-27 23:17 hackchecker 阅读(1158) 评论(1) 推荐(0) 编辑

2011年12月24日

安全意识大于安全策略!

摘要: 原文:http://www.51testing.com/?uid-104-action-viewspace-itemid-804702 可能作为大多数IT人员来说,2011/12/21是个可怕的日子,一项以技术权威为著称的CSDN竟然爆出了账号泄露的安全问题,几百万的用户ID及明文密码就这样让大家看到了。一时间各种SHA-256,MD5等HASH算法都冒了出来,每个技术人员都在调侃着怎么有那么213的系统,连密码都是明文的? 这里我不准备去聊所谓的数据加密,防火墙策略等技术或策略问题,而更多的时候想聊安全意识! 真的如果数据库加密了你的密码就安全了么?按照现在工程化的MD5字典,几乎大多... 阅读全文

posted @ 2011-12-24 18:44 hackchecker 阅读(366) 评论(0) 推荐(1) 编辑

2011年12月23日

开源web应用防火墙 - Naxsi

摘要: Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。目前,Naxsi更新至0.41版,主要改变如下: * Feature: added support for FILE_EXT. We can now control file uploads names/extensions as well. * Added a rule for FILE_EXT into naxsi_core.rules * Added unit testing for FI 阅读全文

posted @ 2011-12-23 22:52 hackchecker 阅读(1443) 评论(0) 推荐(0) 编辑

2011年12月17日

【广州】QTP自动化测试实战训练

摘要: 【广州】QTP自动化测试实战训练:http://automationqa.com/training-info/alltraininginfo/item/352-guangzhou-qtp-training-2012-01.html 阅读全文

posted @ 2011-12-17 21:59 hackchecker 阅读(272) 评论(0) 推荐(0) 编辑

2011年12月7日

CodeSecure - 静态源代码分析平台

摘要: 简介:CodeSecure™ is a static source code analysis platform that leverages third generation software verification technologies to identify web application vulnerabilities throughout development. Our web-based solution provides automated compiler-independent code analysis that models tainted dataflow wi 阅读全文

posted @ 2011-12-07 20:32 hackchecker 阅读(1449) 评论(0) 推荐(1) 编辑

2011年11月22日

soapUI 4.0.1发布、增加安全测试功能

摘要: soapUI 4.0.1 - The Security ReleasesoapUI 4.0.1发布、增加安全测试功能XML Bomb, SQL Injection, Malformed XML, what do they all have in common? Those are just a few of the new features added to the latest soapUI 4 release. Adding a multiple set of security scans helps you make sure your web services are protecte 阅读全文

posted @ 2011-11-22 16:59 hackchecker 阅读(948) 评论(0) 推荐(0) 编辑

2011年10月25日

广州 《软件测试安全实战训练》圆满结束

摘要: 广州 《软件测试安全实战训练》圆满结束,课程PPT:http://www.docin.com/p-276983745.html 阅读全文

posted @ 2011-10-25 11:13 hackchecker 阅读(223) 评论(0) 推荐(0) 编辑

2011年10月23日

Rational AppScan 扫描大型网站

摘要: Rational AppScan 工作原理 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows操作系统上,可以对网站等 Web 应用进行自动化的应用安... 阅读全文

posted @ 2011-10-23 08:58 hackchecker 阅读(2144) 评论(0) 推荐(1) 编辑

2011年10月21日

Cookie安全测试

摘要: Cookie安全测试:http://www.docin.com/p-276248693.html 阅读全文

posted @ 2011-10-21 14:55 hackchecker 阅读(669) 评论(0) 推荐(0) 编辑

软件安全测试系列视频

摘要: 软件安全测试系列视频:HTTP篡改 - URL Query StringHTTP篡改 - POST DataHTTP篡改 - CookieDoS - XML炸弹文件名: 安全测试视频【www.AutomationQA.com】.rar下载地址: http://www.rayfile.com/files/b9e94380-fbb0-11e0-9bf6-0015c55db73d/ 阅读全文

posted @ 2011-10-21 14:52 hackchecker 阅读(853) 评论(0) 推荐(0) 编辑

2011年10月16日

一个安全测试的CheckList

摘要: 1. 不登录系统,直接输入登录后的页面的URL是否可以访问;2. 不登录系统,直接输入下载文件的URL是否可以下载文件;如输入:http://url/download?name=file是否可以下载文件file3. 退出登录后,后退按钮能否访问之前的页面;4. ID/密码验证方式中能否使用简单密码;如密码标准为6位以上,字母和数字的组合,不包含ID,连接的字母或数字不能超过n位5. ID/密码验证方式中,同一个帐号在不同的机器上不同时登录6. ID/密码验证方式中,连续数次输入错误密码后该帐户是否被锁定7. 重要信息(如密码,身份证,信用卡号等)在输入... 阅读全文

posted @ 2011-10-16 23:10 hackchecker 阅读(1311) 评论(0) 推荐(1) 编辑

2011年10月9日

软件安全测试实战训练

摘要: 主题:《软件安全测试实战训练》时间:两天地点:广州训练大纲:一、软件安全研发过程1、缺陷与漏洞2、安全测评标准3、微软安全软件开发周期(SDL)4、常见安全漏洞CWEOWASP5、威胁建模与威胁建模工具的应用(SDL Threat Modeling Tool)二、常用安全测试方法与工具应用1、静态分析技术代码安全分析工具(Flawfinder、RATS、Fortify)安全编程标准2、逆向分析技术逆向工具(BinScope、W32Dasm、Reflector)3、动态分析技术内存安全检测工具(Purify、BoundsChecker)4、Fuzzing测试Fuzz工具的应用(SDL MiniF 阅读全文

posted @ 2011-10-09 10:38 hackchecker 阅读(1380) 评论(0) 推荐(0) 编辑

2011年10月8日

Fortify使用手册

摘要: Fortify使用手册:http://www.docin.com/p-268037705.html 阅读全文

posted @ 2011-10-08 20:59 hackchecker 阅读(1224) 评论(0) 推荐(0) 编辑

2011年10月5日

Fortify在线帮助文档

摘要: Fortify在线帮助文档(中文):https://www.fortify.com/vulncat/zh_CN/vulncat/index.html 阅读全文

posted @ 2011-10-05 21:53 hackchecker 阅读(800) 评论(0) 推荐(0) 编辑

2011年6月19日

WEB安全测试实战训练

摘要: WEB安全测试实战训练训练大纲:一、常见WEB安全漏洞1、黑客技术分析、Google Hacking、OWASP介绍2、常用黑客工具介绍、演示3、WEB常见攻击方式二、WEB安全漏洞检测1、HTTP安全测试2、URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改3、HTTP安全漏洞检查、常用工具、案例分析4、跨站脚本攻击(XSS)方法、XSS原理剖析5、XSS攻防演练、案例分析6、XSS漏洞检查方法、工具、代码审查7、XSS造成的安全后果、如何预防XSS8、隐藏表单字段漏洞、案例分析9、隐藏表单字段漏洞检查方法、工具、代码审查10、DoS攻击、DoS原理11、DoS攻防演练 阅读全文

posted @ 2011-06-19 09:05 hackchecker 阅读(2945) 评论(2) 推荐(2) 编辑

2011年6月14日

常用安全测试用例

摘要: 建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1、输入验证客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&*()_+<>:”{}|4.输入中英文空格,输入字符串中间含空格,输入首尾空格5.输入特殊字符串NULL,null,0x0d 0x0a6.输入正常字符串 7.输入与要求不同类型的字符,如: 要求输入数字则检查正值,负值,零值(正 阅读全文

posted @ 2011-06-14 00:09 hackchecker 阅读(12573) 评论(1) 推荐(1) 编辑

2011年6月13日

让Web站点崩溃最常见的七大原因

摘要: 磁盘已满 导致系统无法正常运行的最可能的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况,隔一定的时间,就需要将磁盘上的一些负载转存到备份存储介质中(例如磁带)。 日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQL*Net的日志文件、JDBC日志文件,以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中。日志文件系统空间已满时Web服务器也会被挂起,但机器自身被挂起的几率已大大减低。 C指针错误 用C或C++编写的程序,如Web服务器API模块,有可能导致系统的崩溃,因为只要间接引用指针(即,访问指向的内存)中出现. 阅读全文

posted @ 2011-06-13 23:41 hackchecker 阅读(1454) 评论(0) 推荐(0) 编辑

2011年5月10日

SQL深盲注入技术

摘要: SQL深盲注入技术Ferruh Mavituna www.portc ullis- sec urity.c om翻译:daokers注:我把Deep Blind SQL Injection译为SQL深盲注入技术或者SQL高级盲注技术 SQL深盲注入技术已在多篇文章中被描述.如果注入点是完全盲目的,那么提取数据库数据的唯一方法就是基于时间差的攻击,比如 WAITFOR DELAY , BENCHMARK等等.现在已知有2种方法来读取数据,1. 逐字节读取数据2. 在字符模式下通过二进制搜索算法来读取数据 这2种方法都有“一个请求-一个响应”的限制,并且平均每一个字符需要发送6个请求给服务器。在深 阅读全文

posted @ 2011-05-10 22:44 hackchecker 阅读(6451) 评论(0) 推荐(0) 编辑

2011年4月6日

OWASP开源项目WebGoat的安装使用方法

摘要: 1、解压缩WebGoat-OWASP_Standard-5.2.zip到指定目录2、执行webgoat_8080.bat启动webgoat3、访问http://localhost:8080/WebGoat/attack4、输入用户名guest、密码guest5、登录成功后点击“Start webgoat” 阅读全文

posted @ 2011-04-06 23:23 hackchecker 阅读(2495) 评论(0) 推荐(0) 编辑

如何阻止暴力破解攻击(Brute-Force Attacks)

摘要: A common threat Web developers face is a password-guessing attack known as a brute-force attack. A brute-force attack is an attempt to discover a password by systematically trying every possible combination of letters, numbers, and symbols until you discover the one correct combination that works. I 阅读全文

posted @ 2011-04-06 23:00 hackchecker 阅读(5371) 评论(0) 推荐(0) 编辑

2011年4月4日

关于信息泄漏的利用

摘要: WEB应用程序由于放在网络上,很容易被访问,一些安全信息也很容易暴露,例如用户数据、服务器信息等,这些泄漏的信息有些可以直接被使用,例如用户的帐号信息,有些可以被间接地利用,例如Discuz论坛对于用户资料的访问,由于用户ID是可预见的,例如:http://bbs.XXX.com/space.php?action=viewpro&uid=10000这里uid是可预见的,按注册顺序递增上去。恶意用户可以利用这些信息,例如想群发信息给论坛用户,可以用类似如下的脚本:SystemUtil.Run "iexplore" , "http://bbs.XXX.com/ 阅读全文

posted @ 2011-04-04 12:50 hackchecker 阅读(349) 评论(0) 推荐(0) 编辑

2011年3月20日

解读Web应用程序安全性问题的本质

摘要: 相信大家都或多或少的听过关于各种Web应用安全漏洞,诸如:跨site脚本攻击(XSS),SQL注入,上传漏洞...形形色色. 在这里我并不否认各种命名与归类方式,也不评价其命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分: 1、输入/输出验证(Input/output validation) 2、角色验证或认证(Role authentication ) 3、所有权验证(Ownership authentication) 说到这,读者一定想知道我这三种分类与形形色色的安全性问题有什么关系?下面我 阅读全文

posted @ 2011-03-20 20:43 hackchecker 阅读(434) 评论(0) 推荐(0) 编辑

WEB安全问题的层次

摘要: 通常把它分为三个层次: 1、网络安全。如防火墙、路由器、网络结构等相关的安全问题 2、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全,象Apache/OpenSSL/Weblogic等本身的安全性漏洞 3、Web应用程序安全。具体应用程序的安全性漏洞,比如:某网站邮件系统因为存在脚本安全性问题,导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的,其密码与帐号信息被人窃取。 阅读全文

posted @ 2011-03-20 20:38 hackchecker 阅读(487) 评论(0) 推荐(0) 编辑

2011年3月19日

网络嗅探技术浅析

摘要: 一.嗅探可以做什么?为什么需要嗅探? 嗅探(sniff),就是窃听网络上流经的数据包,而数据包里面一般会包含很多重要的私隐信息,如:你正在访问什么网站,你的邮箱密码是多少,你在和哪个MM聊QQ等等......而很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。二.嗅探技术 在集线器盛行的年代,要做嗅探是件相当简单的事情,你什么事情都不用干,集线器自动会把别人的数据包往你机器上发。但是那个年代已经过去了,现在交换机已经代替集线器成为组建局域网的重要设备,而交换机不会再把不属于你的包转发给你,你也不能再轻易地监听别人的信息了(不熟悉集线器和交换工作原理的朋友可以参考我之前写的文章《网络基础 阅读全文

posted @ 2011-03-19 11:31 hackchecker 阅读(770) 评论(0) 推荐(0) 编辑

软件安全测试辅助工具列表【持续收集中】

摘要: 1、PageSpyhttp://www.sembel.net/PageSpy: Easy way to show source, analyze forms, query, cookie and more! If you are a web developer, a web designer or a tester, you need PageSpy! PageSpy is an invaluable tool that will help you save precious time writing and debugging web pages. It can also help you 阅读全文

posted @ 2011-03-19 10:01 hackchecker 阅读(994) 评论(0) 推荐(0) 编辑

2011年3月18日

跨入安全的殿堂--读《Web入侵安全测试与对策》感悟

摘要: 前言 最近读完了《Web入侵安全测试与对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。 现在Web攻击方式日新月异,但基本思想很多都源于下面的攻击方式,比如,下面提到的“SQL注入”和“命令注入”就是注入思想的不同体现。另外,本文的目的不在于“详细介绍每种提到的攻击技术”,而在于“让大家知道要程序安全,我们起码要了解哪些东西”Web入侵攻击方式一.客户端试探性攻击1. 查找敏感信息(1)HTML代码中的注释,隐藏域, 阅读全文

posted @ 2011-03-18 23:08 hackchecker 阅读(838) 评论(0) 推荐(1) 编辑

Hacker都是用什么操作系统?

摘要: 看到这个标题可能大家就会说:“这需要问吗,肯定是Unix系啦!”这确实毋庸置疑,著名的Hacker,比如Linus Torvalds,都是深受Unix系的影响,直到最后自己还创造了类Unix的Linux内核。不过今天我们把“Hacker”这个词定义的更特殊一点,专指“Hacker News”的读者。这类人群一般不以操作系统来划分,但都有个共同点,就是关注最新的科技、思想和Startups等。 来看看他们用的操作系统都是什么。 结果显而易见,前三位明显是:Mac OS X(516票)、Ubuntu(313票)和Windows 7(229票)。后面的都没有过百,与前三者差距很大。而如果比较Unix 阅读全文

posted @ 2011-03-18 22:47 hackchecker 阅读(843) 评论(0) 推荐(0) 编辑

软件安全测试书籍【持续更新中】

摘要: 黑测工作室为您收集和推荐的软件安全测试方面的书籍:*** 《Hunting Security Bugs》《How to Break Web Software》*** 《19 Deadly Sins of Software Security- Programming Flaws and How to Fix Them》《Beautiful Security》* 《Building Secure ASP.NET Applications》下载:http://www.automationqa.com/uchome/space.php?uid=215&do=thread&id=88《C 阅读全文

posted @ 2011-03-18 16:56 hackchecker 阅读(3482) 评论(0) 推荐(0) 编辑

黑客视频动画

摘要: Cross-Site Scripting (XSS) View "Cross Site Scripting - Lesson 1" (Flash, 5.1 MB, with audio comment)http://www.virtualforge.de/vmovie/xss_lesson_1/xss_selling_platform_v1.0.html View "Cross Site Scripting - Lesson 2" (Flash, 3.6 MB, with audio comment)http://www.virtualforge.de/ 阅读全文

posted @ 2011-03-18 16:24 hackchecker 阅读(388) 评论(0) 推荐(0) 编辑

黑客技术训练场

摘要: 收集了一些黑客模拟攻击闯关网站,可用于磨练我们的黑客技术:http://www.try2hack.nl/http://haxperience.com/http://www.hack-test.com/ 阅读全文

posted @ 2011-03-18 16:14 hackchecker 阅读(884) 评论(1) 推荐(1) 编辑

安全测试资源列表【持续收集中】

摘要: 安全测试博客:http://blog.csdn.net/Testing_is_believing/category/355497.aspx 阅读全文

posted @ 2011-03-18 11:08 hackchecker 阅读(268) 评论(0) 推荐(0) 编辑

导航