随笔分类 -  安全测试

1 2 下一页
安全学习的网站
摘要:http://www.jishu5.com/category-5.html https://www.sohu.com/a/256967094_472906 https://www.cnblogs.com/nightnine/p/5479900.html 阅读全文
posted @ 2022-07-15 12:21 凯宾斯基 阅读(77) 评论(0) 推荐(0)
靶机
摘要:http://demo.testfire.net http://testphp.vulnweb.com (这个我试了可以) http://testasp.vulnweb.com http://testaspnet.vulnweb.com http://zero.webappsecurity.com 阅读全文
posted @ 2022-07-15 12:15 凯宾斯基 阅读(178) 评论(0) 推荐(0)
sql手工注入笔记
摘要:靶机 https://buuoj.cn/challenges 普通注入场景 参考: https://www.freesion.com/article/96531243912/ '单引号注入尝试 靶机: ' 宽字符注入尝试(没啥用,get请求写好注入语句先在浏览器访问自动给转的) %df' 的解释 h 阅读全文
posted @ 2022-07-15 12:10 凯宾斯基 阅读(66) 评论(0) 推荐(0)
测试工具OWASP(ZAP) (开源的)
摘要:下载: https://www.zaproxy.org/download/ mac: https://github.com/zaproxy/zaproxy/releases/download/v2.11.1/ZAP_2.11.1.dmg 靶机安装 http://www.jishu5.com/post 阅读全文
posted @ 2022-07-09 01:17 凯宾斯基 阅读(678) 评论(0) 推荐(0)
burp suite 安全测试工具 笔记
摘要:下载: https://portswigger.net/burp/communitydownload 界面解释 1.Target(目标)——显示目标目录结构的的一个功能 2.Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方 阅读全文
posted @ 2022-07-08 15:15 凯宾斯基 阅读(126) 评论(0) 推荐(0)
学安全测试的b站up主有空了解下
摘要:https://www.bilibili.com/video/BV1QS4y1G7KU?p=73 阅读全文
posted @ 2022-03-07 19:02 凯宾斯基 阅读(48) 评论(0) 推荐(0)
nmap接口扫描工具 --有空了解下
摘要:下载地址 https://nmap.org/download.html 挺全的: https://cloud.tencent.com/developer/article/1924897 大概的几个命令 https://www.bilibili.com/video/BV1kE411x7D6?from= 阅读全文
posted @ 2022-02-08 17:09 凯宾斯基 阅读(295) 评论(1) 推荐(0)
用户退出登陆后,token依旧有效的问题 及解决方法
摘要:问题: 用户登陆后 获取他的请求, 然后用户退出登陆。 按道理 会话应该没了,但是你用这个用户原来的token,居然还可以继续访问 https://segmentfault.com/q/1010000010043871/ 阅读全文
posted @ 2020-03-05 00:22 凯宾斯基 阅读(5052) 评论(0) 推荐(1)
页面劫持,就是弄了个ifeame标签 遮挡住原来页面的其他按钮,跳转到别的指定页面
摘要:<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <style> #aa{ background: #00c806; float: left; margin-top: 10px; l 阅读全文
posted @ 2019-12-31 10:53 凯宾斯基 阅读(291) 评论(0) 推荐(0)
服务端验证逻辑缺陷(接口安全,直接删除字段,绕过了验证)
摘要:有些信息系统的服务端验证逻辑存在漏洞。攻击者可以通过删除数据包中的某些参 数、修改邮件发送地址或者跳过选择找回方式和身份验证的步骤,直接进入重置密码界面 成功重置其他人的密码。 15.6.1 删除参数绕过验证 步骤一:某邮箱系统可以通过密码提示问题找回密码,如图15-35所示。 步骤二:首先随机填写 阅读全文
posted @ 2019-12-18 01:09 凯宾斯基 阅读(427) 评论(0) 推荐(0)
伪造他人账号信息提交数据问题(一般接口都会去校验身份和身份id是否一致)
摘要:某APP客户端可以劫持任意账号 双师: 上课的学生上报学生上课状态,请求中带学生自己的id,当切换成其他学生的id ,接口报错,应该会校验token 和 提交的学生id 是否一致 阅读全文
posted @ 2019-12-17 20:47 凯宾斯基 阅读(260) 评论(0) 推荐(0)
Session覆盖测试(要验证码提交到后续页面操作的 绕过去的场景)
摘要:测试原理和方法 找回密码逻辑漏洞测试中也会遇到参数不可控的情况,比如要修改的用户名或者绑定 的手机号无法在提交参数时修改,服务端通过读取当前session会话来判断要修改密码的账 号,这种情况下能否对Session中的内容做修改以达到任意密码重置的目的呢? 在某网站中的找回密码功能中,业务逻辑是:由 阅读全文
posted @ 2019-12-17 20:02 凯宾斯基 阅读(1243) 评论(0) 推荐(0)
讲sql注入原理的 这篇不错(有空可以看看)
摘要:我们围绕以下几个方面来看这个问题: 1.什么是sql注入? 2.为什么要sql注入? 3.怎样sql注入? 1.什么是sql注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密 阅读全文
posted @ 2019-09-15 00:09 凯宾斯基 阅读(1404) 评论(0) 推荐(1)
墨者学习安全测试的网站(看起来很不错的样子 有空看看)
摘要:https://www.mozhe.cn/ 阅读全文
posted @ 2019-09-11 13:53 凯宾斯基 阅读(239) 评论(0) 推荐(0)
菜鸟浅谈——web安全测试(这篇不错有空看看)
摘要:https://blog.csdn.net/u010559128/article/details/79394056 阅读全文
posted @ 2019-09-11 00:36 凯宾斯基 阅读(310) 评论(0) 推荐(0)
web端安全测试工具
摘要:https://www.cnblogs.com/ios9/p/7692373.html 十大web安全扫描工具 扫描程序可以在帮助造我们造就安全的Web 站点上助一臂之力,也就是说在黑客“黑”你之前, 先测试一下自己系统中的漏洞。我们在此推荐10大Web 漏洞扫描程序,供您参考。 1. Nikto 阅读全文
posted @ 2019-09-09 17:00 凯宾斯基 阅读(6171) 评论(0) 推荐(0)
网站钓鱼的方法 和 xss
摘要:获取cookie利用代码cookie.asp <html> <title>xx</title> <body> <%testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中 m 阅读全文
posted @ 2019-04-10 13:55 凯宾斯基 阅读(1611) 评论(2) 推荐(0)
csrf攻击 使用js 调用 php文件的方法(还没实践)
摘要:https://www.cnblogs.com/Im-Victor/p/9306535.html 阅读全文
posted @ 2019-03-07 22:07 凯宾斯基 阅读(215) 评论(1) 推荐(0)
csrf xss sql注入
摘要:1.输入框 sql注入 测试直接在输入框输入1' ,看sql会不会拼接出错 xss攻击 csrf攻击 测试直接在输入框输入 <script>alert(123)</script> 提交后展示的信息 有没有对其实例化 csrf类型 ''<a>钓鱼</a> '<a>钓鱼</a> 提交 看页面解析是否变成 阅读全文
posted @ 2019-01-25 20:09 凯宾斯基 阅读(651) 评论(2) 推荐(0)
移动APP安全测试
摘要:1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,de 阅读全文
posted @ 2019-01-08 18:36 凯宾斯基 阅读(2380) 评论(0) 推荐(0)

1 2 下一页