2回答
面向开发人员的安全测试
、、、
有没有人知道一个简短的安全测试可以在线进行,以测试开发人员的安全知识?我正在寻找一些简单的管理和简单的评分,理想情况下,开发人员只需几分钟就可以将其作为筛选工具来区分那些没有安全经验的人和那些至少拥有最低水平知识/经验的人。理想情况下,这将测试web应用程序代码中安全问题的知识(尤其是PHP代码,但其他代码也会有用)。
有人知道这种事吗?或者甚至是一般空间里的东西?或者,是否有人有设计或使用这样的测
浏览 0提问于2012-06-06得票数 11
回答已采纳
1回答
寻找安全测试的类型动态和静态分析是安全测试的一部分吗?作为QA测试人员,我们是否需要了解编程或编码语言知识才能执行安全测试?在STLC或SDLC的哪个阶段,我们可以执行安全测试?
浏览 6提问于2014-01-10得票数 1
与其等到零日漏洞发生,还不如先发制人地发现零日漏洞,以阻止零日漏洞的发生?一定有更好的办法。
浏览 0提问于2021-10-08得票数 0
8回答
我是一个手工测试人员,对如何编码的知识有限。如何处理网站的安全测试。有什么好的工具/站点/文档/或类,最好用于安全测试,我可以从中学习吗?
浏览 0提问于2013-06-19得票数 10
我正在使用作为我在安全画布中开发的应用程序。我正在facebook内部使用应用程序管理帐户进行测试(因此所有权限都被授予)。最后一个返回一个空数据数组--/me/因地制宜的朋友。
请告诉我你的想法。
浏览 3提问于2015-02-18得票数 1
回答已采纳
我们正在测试web应用程序的安全测试。我是使用BURP Suite进行测试的新手。我在用于webservice测试的Soap UI方面有丰富的知识,但没有用于安全测试。
浏览 0提问于2015-07-01得票数 0
3回答
在构建安全策略(并实现它)时,您必须知道您要针对的是谁。我想使用适当的术语,如果它们已经被定义。我在想象一份清单,如:不感兴趣的攻击者-那些对你不感兴趣,但正在积极测试你的防御。主动,感兴趣的攻击者-人们积极试图破坏您的安全,以进入网络。或者你在IRC惹怒的人。
这就是我的全部。够了吗,还是我错过了某种程度的芬尼丝?有没有一群我完全忘记的攻击者?
浏览 0提问于2013-09-11得票数 4
回答已采纳
我的日常活动主要包括渗透测试(白色/灰色/黑色)。在我的整个工作中,我试图教育我的客户关于测试类型的差异。例如,从内部角度(低级用户)进行认证测试,而不是完全“零知识”即插即用测试。对任何一个有测试经验的人来说,在安全情报方面是最有价值的。
我认为,并试图说服我的客户从事低水平的认证测试。这些测试通常涵盖零知识,因为我可以演示利用和升级的特权,以及没有特权。这种类型的测试可以覆盖
浏览 0提问于2016-05-17得票数 2
最近,一种被称为比特币的分散在线货币的创建方法引起了人们的兴趣。我们的目标是找到一种在没有中央权力机构的情况下进行货币转移的方法,并且避免双重支出或伪造货币。他们的方法是让网络中的所有节点通过进行工作证明计算来验证一个事务,然后进行验证最多的事务被认为是正式的。如果攻击者想伪造官方记录(以扭转他们的第一笔开销并再次使用硬币),那么他们必须拥有网络中的大部分计算能力。最大的缺点是,在该方案中,所有事务的记录必须是公开的,比特币纸的作者认为这是必须的:
确认没有事务的唯一方法是了解所有事务。在基于薄荷的模型中,造币公司知道所有的事务,并决定哪一个是第一个到达的。若要在没有受信任方的情况下完成此任务
浏览 0提问于2011-08-25得票数 32
5回答
我正试图在一个组织内建立一个应用程序安全组,虽然有大量的课程供深入测试人员使用,但我找不到为开发人员/ QA测试人员提供同等数量的培训课程。与我一起工作的团队在核心功能(开发、测试、测试自动化)方面非常有能力,但对应用程序安全性的了解非常有限-- OWASP前10名的基本知识。我在互联网上寻找帮助他们建立知识的课程,到目前为止,我已经发现了来自SANS的2-3个课程,以及一个来自方面安全的培训包。我还没有试过这些,因为我想在
浏览 0提问于2012-10-25得票数 16
3回答
当我在具有mvn deploy的项目中运行<packaging>war</packaging>时,会得到以下错误:在我的示例中,我希望将war部署到远程Tomc
浏览 3提问于2011-06-29得票数 7
5回答
我是一个专业的软件开发人员,对web应用程序安全性有很高的兴趣。我要说的是,我可能比普通的开发人员更了解web应用程序的安全性。我的问题是,我的知识主要集中在网络安全的理论部分--也就是说,我读过很多书,我关注博客和邮件列表,但我的实践经验有限。
我知道漏洞的根本原因,我知道它们是如何工作的,也知道如何阻止它们。我想要做的是,把我的知识带到下一步--我想要那种实践经验。我知道在我职业生涯的某个时候,我可能会做一些与安全有关的事情,但不是现在--至少不是全职的。同时,我想建立我的web应用
浏览 0提问于2011-09-29得票数 36
回答已采纳
2回答
通过多年的经验,我获得了一些关于网络安全的基本知识。现在,我有兴趣扩展我的知识,并深入了解如何利用常见漏洞(XSS、SQL注入等)。已经完成了。
给您一个易受攻击的测试站点,并指导您(最好是逐个测试)利用其漏洞的过程。注意:我不需要测试特定的应用程序,我想要一些资源,让我能够更好地理解这些安全漏洞是如何在网站中创建的,以及如何被恶意用户利用。
浏览 1提问于2012-03-21得票数 0
回答已采纳
渗透测试和报告提交是否必须由认证的CEH或CISSP完成?还是拥有安全和工具专业知识的人可以执行?如果任何人可以这样做,也可以接受符合任何标准的要求,如ISO 27001,PCI等。
浏览 0提问于2017-02-15得票数 3
在一个安全的网站中有两个要求,其中一个表格被张贴到一个网址上:
如果身份验证票证仍然有效,表单将被张贴到新窗口,否则该窗口将将用户重定向到登录页面。
浏览 2提问于2013-11-10得票数 0
今天,在线安全是一个非常重要的因素。许多企业完全是基于在线的,只有通过使用web浏览器,才能查看大量的敏感数据。为了获取保护我自己应用程序的知识,我发现我经常测试其他应用程序的漏洞和安全漏洞,可能只是出于好奇。随着我对自己的应用程序的测试、零日漏洞的阅读和一书的阅读,我在这个领域的知识不断扩大,我逐渐意识到大多数在线web应用程序确实暴露在许多安全漏洞中。
那么你是做什么的?我的询问很快就被忽略了,安全漏洞还没有修复。他们为什么不想修呢?有恶意的人要多
浏览 2提问于2009-03-20得票数 26
回答已采纳
1回答
为了安全测试,允许第三方完全、不受限制地访问专有软件源代码,这是一种常见的做法吗?当涉及到保护你的知识产权时,它似乎与安全相反。
在与第三方一起输入源代码审查时,应该采取哪些预防措施?注:我不确定这是否重要,但被考虑参加安全测试的第三方设在美国,但从事这项工作的员工位于另一个国家。
浏览 0提问于2020-10-29得票数 1
回答已采纳
5回答
我刚刚在家里设置了一堆虚拟机,并正在寻找一些有趣的东西来玩。我只是在想,在这样的装置下,一个实验能用什么样的随机材料呢?我不打算设置独立的服务器,但我正在考虑试验机器间的东西。是否有某种类型的分布式、集群或其他有趣的东西可供玩?VMs应该是有趣的!
浏览 0提问于2009-09-04得票数 1
回答已采纳
1回答
用户可以登录,他们可以存储一些数据,并且有各种类型的加密,以确保所有的安全。密码被腌制和散列,用户数据被加密,密钥被安全保存,一切都很好。你是如何处理这种情况的?显然,您最安全的做法是删除数据,但这似乎相当激烈,您的用户可能会对面对一些可能非常小且永远不可能实现的假设风险而失去他们所有的数据而有些恼火。用盐制</em
浏览 0提问于2013-04-22得票数 4
回答已采纳
3回答
我以网络开发为生,但我真正的爱好是安全。我曾与无数的开源web应用程序/框架合作过,我发现其中大多数都存在漏洞。造成这些漏洞的主要原因是开发人员缺乏安全教育。我一直在考虑如何解决这些问题。我的想法是启动一个“开源web应用程序”渗透测试社区。该社区将由志同道合的安全专业人士/狂热者组成。测试应用程序是否存在安全问题。渗透测试+源代码评审。(可能遵循各种OWASP指南)
向开放源码组织发出漏洞列表。
浏览 0提问于2011-08-21得票数 5
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
