网站代码的安全审计与渗透测试 到底该怎样进行?
网站代码安全审计应当由技术专业的工作人员来干有关编码安全审计工作究竟应当谁来承担,我以前曾写过一篇文章《“让开发者爱上安全测试”系列3之软件安全测试谁负责》大伙儿能够...
admin
如何对JAVA架构的网站进行安全渗透?
近期许多网民跟我说为何出現系统漏洞的网站程序全是PHP开发设计的,而非常少有JAVA和Python的渗透案例,先不用说python,就PHP和Java谈一谈。在这以前,先何不记牢那么一个依...
网站渗透测试 对短信验证码的轰炸漏洞的检测手法
在日常授权测试中,很大一部分只有登录接口,在这个登录接口中实际上可以测试很多事情,如用户名枚举、弱密码、验证代码、检索密码等一系列问题。为了更好的用户体验,当前的网站避免了每个人登录网...
软件渗透测试中对单元漏洞扫描的介绍
工欲善其事必先利其器,这次我们介绍一个工具,方便大家有更深的了解。拥有20年历史的BTCEmbeddedPlatform是世界著名的自动化测试工具,她为单元测试提供了与ASPICE和ISO...
对专业白帽的一次实地采访记录 从漏洞悬赏到学习
Q:如何调整上班时间和挖漏洞时间的? 也就是企业如果不忙的情况下就可以做些自个事儿,搞些安全防护分析,之后就可以挖挖洞。但主要是夜里,夜里时间多一些。 Q:在白帽子圈内很多人想要做你的学生,那么你为什...
APP渗透测试过程对apk逆向二次打包
安全圈有句话叫不知道怎么进攻,不知道怎么防守。我想从攻击的角度谈谈这个问题。以市场上某大公司的一款app为例,我来说说如何绕过它的防范机制,修改代码(弹出提示框),重新打包,重新签名,运...
通过渗透测试挖漏洞 来规划自己的职业生涯
此处,是书本知识的终点,也是创新的起点。您应当一直忙着项目。身为初学者,或者甚至是资深从业者,当别人问到你“你正在从事什么项目?”而且你只能回答“没有项...
什么是条件竞争漏洞? 在渗透某APP时如何检测
本文主要针对应用层面出现的一些条件竞争案例和原理讲解,希望能给各位大佬们在挖洞的过程中增添一点思考。 什么是条件竞争漏洞? 基础概念:多个进程与此同时访问相同共享代码、变量、文件等,而不进...
对某APP客户微信小程序的一次渗透测试
继承上一期app软件业务挖洞的一些经验,本文主要是针对小微信应用程序的BUG挖掘,微信小程序默认是用自己的微信可以直接登陆,我们对微信小程序的BUG挖掘,关注的还是逻辑漏洞,下面将从环境搭建...
小白在网站渗透测试中的一些生存感受
我曾经对一些新手说过一句话“你尝试入侵100万次后,得到任何一个站点,你马上就会有想法多尝试,可以总结一些经验,养成一定的入侵模式(习惯)。这些年来,相关规定越来越严格,很多&ld...