随笔列表第3页 - hackchecker

soapUI安全测试教程

摘要： soapUI安全测试教程：http://www.docin.com/p-318294582.html 阅读全文

posted @ 2012-01-01 22:33 hackchecker 阅读(1401) 评论(0) 推荐(0)

OWASP网站列出的安全工具

摘要： OWASP网站列出的安全工具：https://www.owasp.org/index.php/Phoenix/Tools 阅读全文

posted @ 2011-12-29 11:25 hackchecker 阅读(412) 评论(0) 推荐(0)

摘要： IBM AppScan 最新版本 8.5 ，修改了不少bug：http://www-01.ibm.com/support/docview.wss?uid=swg27023615#0APARDescriptionPM23122Importing WSDL file into GSC takes 3 hoursPM25228GSC could filter parameters with unknown XSD types.PM27800AppScan does not test error pagesPM28740OS/WS/AS fields are not filled i 阅读全文

posted @ 2011-12-28 00:14 hackchecker 阅读(3128) 评论(1) 推荐(0)

Burp suite - 一款Web渗透测试的集成套件

摘要： Burp suite 是由portswigger开发的一套用于Web渗透测试的集成套件，它包含了spider,scanner(付费版本),intruder,repeater,sequencer,decoder,comparer等模块，每个模块都有其独特的用途，给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利下载地址：http://portswigger.net/burp/download.htmlBurp Suiteis an integrated platform for performing security testing of web applications. Its 阅读全文

posted @ 2011-12-27 23:17 hackchecker 阅读(1190) 评论(1) 推荐(0)

安全意识大于安全策略！

摘要：原文：http://www.51testing.com/?uid-104-action-viewspace-itemid-804702 可能作为大多数IT人员来说，2011/12/21是个可怕的日子，一项以技术权威为著称的CSDN竟然爆出了账号泄露的安全问题，几百万的用户ID及明文密码就这样让大家看到了。一时间各种SHA-256,MD5等HASH算法都冒了出来，每个技术人员都在调侃着怎么有那么213的系统，连密码都是明文的？这里我不准备去聊所谓的数据加密，防火墙策略等技术或策略问题，而更多的时候想聊安全意识！真的如果数据库加密了你的密码就安全了么？按照现在工程化的MD5字典，几乎大多... 阅读全文

posted @ 2011-12-24 18:44 hackchecker 阅读(389) 评论(0) 推荐(1)

开源web应用防火墙 - Naxsi

摘要： Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序，以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。目前，Naxsi更新至0.41版，主要改变如下： * Feature: added support for FILE_EXT. We can now control file uploads names/extensions as well. * Added a rule for FILE_EXT into naxsi_core.rules * Added unit testing for FI 阅读全文

posted @ 2011-12-23 22:52 hackchecker 阅读(1471) 评论(0) 推荐(0)

【广州】QTP自动化测试实战训练

摘要：【广州】QTP自动化测试实战训练：http://automationqa.com/training-info/alltraininginfo/item/352-guangzhou-qtp-training-2012-01.html 阅读全文

posted @ 2011-12-17 21:59 hackchecker 阅读(285) 评论(0) 推荐(0)

CodeSecure - 静态源代码分析平台

摘要：简介：CodeSecure™ is a static source code analysis platform that leverages third generation software verification technologies to identify web application vulnerabilities throughout development. Our web-based solution provides automated compiler-independent code analysis that models tainted dataflow wi 阅读全文

posted @ 2011-12-07 20:32 hackchecker 阅读(1525) 评论(0) 推荐(1)

soapUI 4.0.1发布、增加安全测试功能

摘要： soapUI 4.0.1 - The Security ReleasesoapUI 4.0.1发布、增加安全测试功能XML Bomb, SQL Injection, Malformed XML, what do they all have in common? Those are just a few of the new features added to the latest soapUI 4 release. Adding a multiple set of security scans helps you make sure your web services are protecte 阅读全文

posted @ 2011-11-22 16:59 hackchecker 阅读(970) 评论(0) 推荐(0)

广州《软件测试安全实战训练》圆满结束

摘要：广州《软件测试安全实战训练》圆满结束，课程PPT：http://www.docin.com/p-276983745.html 阅读全文

posted @ 2011-10-25 11:13 hackchecker 阅读(233) 评论(0) 推荐(0)

Rational AppScan 扫描大型网站

摘要： Rational AppScan 工作原理 Rational AppScan(简称 AppScan)其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安装在 Windows操作系统上，可以对网站等 Web 应用进行自动化的应用安... 阅读全文

posted @ 2011-10-23 08:58 hackchecker 阅读(2168) 评论(0) 推荐(1)

Cookie安全测试

摘要： Cookie安全测试:http://www.docin.com/p-276248693.html 阅读全文

posted @ 2011-10-21 14:55 hackchecker 阅读(679) 评论(0) 推荐(0)

软件安全测试系列视频

摘要：软件安全测试系列视频：HTTP篡改 - URL Query StringHTTP篡改 - POST DataHTTP篡改 - CookieDoS - XML炸弹文件名: 安全测试视频【www.AutomationQA.com】.rar下载地址: http://www.rayfile.com/files/b9e94380-fbb0-11e0-9bf6-0015c55db73d/ 阅读全文

posted @ 2011-10-21 14:52 hackchecker 阅读(875) 评论(0) 推荐(0)

一个安全测试的CheckList

摘要： 1. 不登录系统，直接输入登录后的页面的URL是否可以访问；2. 不登录系统，直接输入下载文件的URL是否可以下载文件；如输入：http://url/download?name=file是否可以下载文件file3. 退出登录后，后退按钮能否访问之前的页面；4. ID/密码验证方式中能否使用简单密码；如密码标准为6位以上，字母和数字的组合，不包含ID，连接的字母或数字不能超过n位5. ID/密码验证方式中，同一个帐号在不同的机器上不同时登录6. ID/密码验证方式中，连续数次输入错误密码后该帐户是否被锁定7. 重要信息（如密码，身份证，信用卡号等）在输入... 阅读全文

posted @ 2011-10-16 23:10 hackchecker 阅读(1333) 评论(0) 推荐(1)

软件安全测试实战训练

摘要：主题：《软件安全测试实战训练》时间：两天地点：广州训练大纲：一、软件安全研发过程1、缺陷与漏洞2、安全测评标准3、微软安全软件开发周期（SDL）4、常见安全漏洞CWEOWASP5、威胁建模与威胁建模工具的应用（SDL Threat Modeling Tool）二、常用安全测试方法与工具应用1、静态分析技术代码安全分析工具（Flawfinder、RATS、Fortify）安全编程标准2、逆向分析技术逆向工具(BinScope、W32Dasm、Reflector)3、动态分析技术内存安全检测工具(Purify、BoundsChecker)4、Fuzzing测试Fuzz工具的应用（SDL MiniF 阅读全文

posted @ 2011-10-09 10:38 hackchecker 阅读(1405) 评论(0) 推荐(0)

Fortify使用手册

摘要： Fortify使用手册：http://www.docin.com/p-268037705.html 阅读全文

posted @ 2011-10-08 20:59 hackchecker 阅读(1255) 评论(0) 推荐(0)

Fortify在线帮助文档

摘要： Fortify在线帮助文档（中文）：https://www.fortify.com/vulncat/zh_CN/vulncat/index.html 阅读全文

posted @ 2011-10-05 21:53 hackchecker 阅读(838) 评论(0) 推荐(0)

WEB安全测试实战训练

摘要： WEB安全测试实战训练训练大纲：一、常见WEB安全漏洞1、黑客技术分析、Google Hacking、OWASP介绍2、常用黑客工具介绍、演示3、WEB常见攻击方式二、WEB安全漏洞检测1、HTTP安全测试2、URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改3、HTTP安全漏洞检查、常用工具、案例分析4、跨站脚本攻击（XSS）方法、XSS原理剖析5、XSS攻防演练、案例分析6、XSS漏洞检查方法、工具、代码审查7、XSS造成的安全后果、如何预防XSS8、隐藏表单字段漏洞、案例分析9、隐藏表单字段漏洞检查方法、工具、代码审查10、DoS攻击、DoS原理11、DoS攻防演练阅读全文

posted @ 2011-06-19 09:05 hackchecker 阅读(2987) 评论(2) 推荐(2)

常用安全测试用例

摘要：建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1、输入验证客户端验证服务器端验证(禁用脚本调试，禁用Cookies)1.输入很大的数（如4,294,967,269），输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&*()_+<>:”{}|4.输入中英文空格，输入字符串中间含空格，输入首尾空格5.输入特殊字符串NULL,null，0x0d 0x0a6.输入正常字符串 7.输入与要求不同类型的字符，如: 要求输入数字则检查正值,负值,零值（正阅读全文

posted @ 2011-06-14 00:09 hackchecker 阅读(12843) 评论(1) 推荐(1)

让Web站点崩溃最常见的七大原因

摘要：磁盘已满导致系统无法正常运行的最可能的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况，隔一定的时间，就需要将磁盘上的一些负载转存到备份存储介质中（例如磁带）。日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQL*Net的日志文件、JDBC日志文件，以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中。日志文件系统空间已满时Web服务器也会被挂起，但机器自身被挂起的几率已大大减低。 C指针错误用C或C++编写的程序，如Web服务器API模块，有可能导致系统的崩溃，因为只要间接引用指针（即，访问指向的内存）中出现. 阅读全文

posted @ 2011-06-13 23:41 hackchecker 阅读(1471) 评论(0) 推荐(0)

SQL深盲注入技术

摘要： SQL深盲注入技术Ferruh Mavituna www.portc ullis- sec urity.c om翻译：daokers注：我把Deep Blind SQL Injection译为SQL深盲注入技术或者SQL高级盲注技术 SQL深盲注入技术已在多篇文章中被描述.如果注入点是完全盲目的，那么提取数据库数据的唯一方法就是基于时间差的攻击，比如 WAITFOR DELAY , BENCHMARK等等.现在已知有2种方法来读取数据，1. 逐字节读取数据2. 在字符模式下通过二进制搜索算法来读取数据这2种方法都有“一个请求-一个响应”的限制，并且平均每一个字符需要发送6个请求给服务器。在深阅读全文

posted @ 2011-05-10 22:44 hackchecker 阅读(6451) 评论(0) 推荐(0)

OWASP开源项目WebGoat的安装使用方法

摘要： 1、解压缩WebGoat-OWASP_Standard-5.2.zip到指定目录2、执行webgoat_8080.bat启动webgoat3、访问http://localhost:8080/WebGoat/attack4、输入用户名guest、密码guest5、登录成功后点击“Start webgoat” 阅读全文

posted @ 2011-04-06 23:23 hackchecker 阅读(2575) 评论(0) 推荐(0)

如何阻止暴力破解攻击（Brute-Force Attacks）

摘要： A common threat Web developers face is a password-guessing attack known as a brute-force attack. A brute-force attack is an attempt to discover a password by systematically trying every possible combination of letters, numbers, and symbols until you discover the one correct combination that works. I 阅读全文

posted @ 2011-04-06 23:00 hackchecker 阅读(5469) 评论(0) 推荐(0)

关于信息泄漏的利用

摘要： WEB应用程序由于放在网络上，很容易被访问，一些安全信息也很容易暴露，例如用户数据、服务器信息等，这些泄漏的信息有些可以直接被使用，例如用户的帐号信息，有些可以被间接地利用，例如Discuz论坛对于用户资料的访问，由于用户ID是可预见的，例如：http://bbs.XXX.com/space.php?action=viewpro&uid=10000这里uid是可预见的，按注册顺序递增上去。恶意用户可以利用这些信息，例如想群发信息给论坛用户，可以用类似如下的脚本：SystemUtil.Run "iexplore" , "http://bbs.XXX.com/ 阅读全文

posted @ 2011-04-04 12:50 hackchecker 阅读(367) 评论(0) 推荐(0)

解读Web应用程序安全性问题的本质

摘要：相信大家都或多或少的听过关于各种Web应用安全漏洞，诸如:跨site脚本攻击(XSS)，SQL注入，上传漏洞...形形色色. 在这里我并不否认各种命名与归类方式，也不评价其命名的合理性与否，我想告诉大家的是，形形色色的安全漏洞中，其实所蕴含安全问题本质往往只有几个。我个人把Web应用程序安全性本质问题归结以下三个部分：１、输入／输出验证(Input/output validation) ２、角色验证或认证(Role authentication ) ３、所有权验证(Ownership authentication) 说到这，读者一定想知道我这三种分类与形形色色的安全性问题有什么关系？下面我阅读全文

posted @ 2011-03-20 20:43 hackchecker 阅读(448) 评论(0) 推荐(0)

WEB安全问题的层次

摘要：通常把它分为三个层次：１、网络安全。如防火墙、路由器、网络结构等相关的安全问题２、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞３、Web应用程序安全。具体应用程序的安全性漏洞，比如：某网站邮件系统因为存在脚本安全性问题，导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的，其密码与帐号信息被人窃取。阅读全文

posted @ 2011-03-20 20:38 hackchecker 阅读(499) 评论(0) 推荐(0)

网络嗅探技术浅析

摘要：一.嗅探可以做什么？为什么需要嗅探？嗅探(sniff)，就是窃听网络上流经的数据包，而数据包里面一般会包含很多重要的私隐信息，如：你正在访问什么网站，你的邮箱密码是多少，你在和哪个MM聊QQ等等......而很多攻击方式（如著名的会话劫持）都是建立在嗅探的基础上的。二.嗅探技术在集线器盛行的年代，要做嗅探是件相当简单的事情，你什么事情都不用干，集线器自动会把别人的数据包往你机器上发。但是那个年代已经过去了，现在交换机已经代替集线器成为组建局域网的重要设备，而交换机不会再把不属于你的包转发给你，你也不能再轻易地监听别人的信息了（不熟悉集线器和交换工作原理的朋友可以参考我之前写的文章《网络基础阅读全文

posted @ 2011-03-19 11:31 hackchecker 阅读(802) 评论(0) 推荐(0)

软件安全测试辅助工具列表【持续收集中】

摘要： 1、PageSpyhttp://www.sembel.net/PageSpy: Easy way to show source, analyze forms, query, cookie and more! If you are a web developer, a web designer or a tester, you need PageSpy! PageSpy is an invaluable tool that will help you save precious time writing and debugging web pages. It can also help you 阅读全文

posted @ 2011-03-19 10:01 hackchecker 阅读(1028) 评论(0) 推荐(0)

跨入安全的殿堂--读《Web入侵安全测试与对策》感悟

摘要：前言最近读完了《Web入侵安全测试与对策》，从中获得了不少灵感。此书介绍了很多Web入侵的思路，以及国外著名安全站点，使我的眼界开阔了不少。在此，我重新把书中提到的攻击模式整理归纳了一遍，并附上相关的一些参考资料，希望会对各位Web开发人员和安全测试人员有所帮助。现在Web攻击方式日新月异，但基本思想很多都源于下面的攻击方式，比如，下面提到的“SQL注入”和“命令注入”就是注入思想的不同体现。另外，本文的目的不在于“详细介绍每种提到的攻击技术”，而在于“让大家知道要程序安全，我们起码要了解哪些东西”Web入侵攻击方式一.客户端试探性攻击1. 查找敏感信息（1）HTML代码中的注释，隐藏域，阅读全文

posted @ 2011-03-18 23:08 hackchecker 阅读(850) 评论(0) 推荐(1)

Hacker都是用什么操作系统？

摘要：看到这个标题可能大家就会说：“这需要问吗，肯定是Unix系啦！”这确实毋庸置疑，著名的Hacker，比如Linus Torvalds，都是深受Unix系的影响，直到最后自己还创造了类Unix的Linux内核。不过今天我们把“Hacker”这个词定义的更特殊一点，专指“Hacker News”的读者。这类人群一般不以操作系统来划分，但都有个共同点，就是关注最新的科技、思想和Startups等。来看看他们用的操作系统都是什么。结果显而易见，前三位明显是：Mac OS X（516票）、Ubuntu（313票）和Windows 7（229票）。后面的都没有过百，与前三者差距很大。而如果比较Unix 阅读全文

posted @ 2011-03-18 22:47 hackchecker 阅读(880) 评论(0) 推荐(0)

软件安全测试书籍【持续更新中】

摘要：黑测工作室为您收集和推荐的软件安全测试方面的书籍：*** 《Hunting Security Bugs》《How to Break Web Software》*** 《19 Deadly Sins of Software Security- Programming Flaws and How to Fix Them》《Beautiful Security》* 《Building Secure ASP.NET Applications》下载：http://www.automationqa.com/uchome/space.php?uid=215&do=thread&id=88《C 阅读全文

posted @ 2011-03-18 16:56 hackchecker 阅读(3552) 评论(0) 推荐(0)

黑客视频动画

摘要： Cross-Site Scripting (XSS) View "Cross Site Scripting - Lesson 1" (Flash, 5.1 MB, with audio comment)http://www.virtualforge.de/vmovie/xss_lesson_1/xss_selling_platform_v1.0.html View "Cross Site Scripting - Lesson 2" (Flash, 3.6 MB, with audio comment)http://www.virtualforge.de/ 阅读全文

posted @ 2011-03-18 16:24 hackchecker 阅读(419) 评论(0) 推荐(0)

黑客技术训练场

摘要：收集了一些黑客模拟攻击闯关网站，可用于磨练我们的黑客技术：http://www.try2hack.nl/http://haxperience.com/http://www.hack-test.com/ 阅读全文

posted @ 2011-03-18 16:14 hackchecker 阅读(923) 评论(1) 推荐(1)

安全测试资源列表【持续收集中】

摘要：安全测试博客：http://blog.csdn.net/Testing_is_believing/category/355497.aspx 阅读全文

posted @ 2011-03-18 11:08 hackchecker 阅读(275) 评论(0) 推荐(0)