SDK的安全服务内容 从白盒到黑盒的渗透测试过程
在各系统正常运行期间,我们需要利用各种安全入侵防护产品(自我研究or采购),如IDS、WAF、RASP等进行深度系统检查,利用风控控制和法务部门的力量,追踪和安全应急响应发生的风险事件。为什么这里说的...
admin
APP安全设置防止被黑客攻击
在当今数字时代,移动应用的数量呈爆炸性增长,涵盖金融、电子商务、社区、医疗、房地产、工业等各行各业。在给人类带来便利的同时,也给黑客带来了可乘之机,移动黑产也越来越强大,他们的重点是从传统的PC网站转...
如何做好网站代码审计服务
学习代码审计要熟悉三种语言,总共分四部分去学习。第一,编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。jquery主要写一些涉及CSRF脚本或DOMXSS、JSON劫...
智能合约安全审计 字符串变量攻击
在字符串匹配模式下,使用同形词对进行攻击,生成恶意的智能合约。具体地说,攻击者设计了一种智能合约,它在分支条件中使用同形字串和异义字串,从而导致意外的代码执行。上面的例子说明了A4攻击,它的攻击代码嵌...
渗透测试实战中的任意文件下载漏洞挖掘与利用
从一个任意文件下载的漏洞开始说,在用户的内部网络系统中有一个系统发布之前的常规渗透测试。拿到名单后我开始了整个生活~打开系统,先看看有没有上传点,兴冲冲的找了一个圈,失望而归。但好歹还有一个下载文件的...
业务安全架构的一些见解 从研发到白盒渗透测试
业务交互流程实际上取决于具体提供的功能、数据和逻辑。例如,从业务层面来看,它是否会涉及敏感数据、涉及的数据是否已经处理等。;应用和中间部件、应用和中间部件是承载整个业务的具体体现,也是应用安全和数据安...
区块链安全审计 以太坊社会工程学攻击探讨
EtherGroup以加密货币和ERC-20Token的形式持有数十亿美元,其中数百万的智能合约通过算法来操作这些资金。毫无疑问,以太坊智能合约的安全是经过严格审查的。最近几年,有很多防御措施被用来检...
渗透实战对文件上传漏洞的利用介绍
Web应用站点具有文件上传功能,如文档,图片,头像,视频上传。如果上载函数的实现代码没有严格地检查上载文件的后缀和文件类型,那么cache就会把webshell上载到web可访问的目录,并把恶...
什么是白盒测试? 都有哪些工具
无论何时提到测试,第一个想到的就是白盒子测试和黑盒子测试。以上两项测试可以说是家喻户晓,但这两项测试的作用何在?现在,我们来看一下白盒测试工具。然后是代码分析程序等,让我们具体看看。第一、Jtest工...
白盒测试和黑盒测试有哪些区别?
那么咱咱们对这个黑盒就进行测试的时候,我们主要的参考依据就是这个需求文档,因为在需求文档里面的话,它会明确的告诉你你输入什么东西应该得到什么样的结果,因此我们还好,就是也就是只需要去关注它的输入以及还...