7回答
软件测试与(Web)渗透测试
、、、、
我想问一下软件测试和Web应用程序渗透测试之间的区别。
我知道在软件测试(JIRA/Selenium)和Web应用程序实现(BurpSuite、SQLMap等)中使用不同的工具。
另外,我想知道这两个学科是否交叉,软件测试人员是否可以成为一个好的Web应用程序戊酯,反之亦然?
非常感谢。
浏览 0提问于2015-03-29得票数 5
回答已采纳
我决定开始学习"web应用程序渗透测试“。但是当我学习的时候,我发现还有另一个术语“网络渗透测试”。谁能告诉我他们俩有什么区别吗?
浏览 0提问于2018-01-09得票数 2
回答已采纳
我试图为我的服务器(不是web服务器)做一些安全测试,它位于nginx代理后面。首先,我用Sulley做了一些模糊测试。正如预期的那样,大多数模糊请求都由nginx处理。我也尝试过使用BED工具,但是由于我的服务器希望获得特定URI上的请求(http://host/(uri)),所以我无法最好地利用它。(这有可能吗?)
我的问题--还有更多的范围来做模糊测试(我可能错过了)?如果是,那么可以使用哪些工具?
我也在寻找一个工具来做渗透测试。提前感谢您的投入。
浏览 0提问于2015-02-13得票数 2
回答已采纳
2回答
穿透测试Java应用程序
、、、
第一件事,这是我从未做过的事。
我有一个用Java (JSP和Servlet)编写的web应用程序,并使用MySQL作为数据库。应用程序部署在Amazon EC2中,这是一个由我自己配置的Ubuntu实例。
现在,我有一个非常关键的“必须”执行要求来查看这个应用程序的安全漏洞。我被要求对此进行渗透测试。
我有以下问题。
在执行此测试时,是否必须在我的实时应用程序或运行在本地计算机(localhost)中的应用程序中执行?
我发现了一堆只接受URL并进行测试的在线工具。这些工具是推荐的和专业的?
用于Java应用程序渗透测试的推荐工具是什么?它们是“软件”还是某种"API“,我必须花很多
浏览 0提问于2015-10-09得票数 5
回答已采纳
1回答
我有一个windows批处理文件,它输出目录路径,例如:
@echo c:\windows
我想把这个字符串"c:\windows“传递给PUSHD命令。我试过这个:
path.bat | PUSHD
但是它会错误地显示“该进程试图写入不存在的管道”。
请帮帮忙。
解析后的命令提示符日志将如下所示:
c:\>path.bat | PUSHD
c:\Windows>
浏览 2提问于2012-04-04得票数 2
回答已采纳
1回答
过去,我曾被一些探针击中过,这些探针通过基于URL /浏览器的方法来传递shell休克验证字符串x='() { :;}; echo vulnerable',这些方法打击面向公共的web服务。
手动(例如在渗透测试期间)处理这种验证的最佳方法是什么?
浏览 0提问于2016-08-17得票数 2
我需要一个web组件,将不允许样式出血出的阴影DOM在IE 11或边缘。内联样式可以工作,但我需要使用样式表。 我尝试了所有的组件,包括标准web组件、聚合物/LiteElement、react-shadow-dom-component和普通老式JS。我附加的代码是非常基本的。这个示例没有使用样式表,它仍然会溢出。我已经尝试了多个polyfills。我也尝试过使用defer和async的loader。任何帮助都是非常感谢的。 <!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
浏览 43提问于2019-05-08得票数 3
回答已采纳
1回答
我有许多矩形(卡片)(从技术上讲是一个Rect类,里面有一个ShapeDrawable ),它们堆叠在一起,或者应该放在sides..They上,以响应触摸和缩放事件。
例如,
这里,阴影的卡片在下面,其余的在上面,it.The卡片2和3部分隐藏了it.When,我触摸下面的一个,它应该会出现。
我应该如何设计我的卡片或阴影的rectangles.Should我使用一个自定义的视图或视图组。(我是一个新手,我不确定如何实现this.Is,即使是一个好的Idea.Can,我们在屏幕上有这么多?)
到目前为止,我已经创建了一个堆栈,其中存储了这些对象的列表,并创建了另一个内部类,SurfaceVi
浏览 1提问于2013-01-30得票数 0
回答已采纳
2回答
我是个新手,我想知道我可以在哪些web应用程序上使用burp套件。据我所知,一个易受攻击的web应用程序就是其中之一。我不想因为做随机测试而惹上麻烦。
浏览 9提问于2018-08-16得票数 1
1回答
我已经使用Naudio的portamento振荡器创建了一个正弦波。 我想尝试添加滤镜,使声音不那么机械,我意识到Naudio有像BiQuadfilters和fadeinfadeout这样的滤镜,我遇到的例子展示了如何对mp3音频使用这些滤镜。 如何将这些滤波器添加到由portamento振荡器生成的正弦波中?
浏览 20提问于2019-01-25得票数 0
1回答
我希望使用OSM (或一个开放的,基于OSM的服务),以便“创建”在发送点之间的路由,然后在无限的时间内对这些路由进行采样。样品,如在获取lan+lat和各种其他信息,如果有可用的(例如海拔,兴趣点.等)。
我一直在努力寻找可能对我有帮助的类似项目或文档。现在,我甚至不确定如何在本地下载部分OSM模式,这样我就不必在web上使用API并垃圾邮件到OSM服务器。
令人遗憾的是,我在网上找到的大多数资源已经足够了,文档很少,而且经常得不到维护:/
如果我要把我需要学的分成三部分,那就是:
( a)获取世界上某个“区域”的OSM模式,并在本地下载并运行,并连接和控制它。
( b)找出如何在两点之间的
浏览 2提问于2016-12-11得票数 1
回答已采纳
我想在我的android应用程序上添加多个选项卡。选项卡数是根据数据库值动态变化的。我想直接显示前三个选项卡,并将其他选项卡保存在“=”按钮下。我该怎么做呢?像这样显示标签的术语是什么?(像引导响应导航栏)。这就是我添加标签的方式。
final TabHost tabHost = getTabHost();
if (condition) {
TabSpec inboxSpec = tabHost.newTabSpec(name1);
inboxSpec.setIndicator(name1);
Intent inboxInten
浏览 0提问于2014-07-30得票数 0
2回答
SAML SSO的安全性验证
、、、、
我在云中运行一个日志聚合产品的实例,安装在VM上。我已经严格地配置了它的网络设置,内部防火墙,内部端口重定向,强大的管理密码,有效的HTTPS证书等。
由于该产品支持SAML SSO,我还将其配置为使用Azure AD作为组织的身份提供者,因此我将不必处理管理附加密码、2FA和避免其他安全漏洞的问题。
我能验证公开的web界面是否受到尽可能的保护,最好的方法是什么?理想情况下,我想抓住尽可能多的问题和错误配置,以尽量减少我被黑客攻击的风险。
浏览 0提问于2020-10-13得票数 1
1回答
我正在本地网络上对web应用程序进行渗透测试。作为测试过程的一部分,我计划执行DoS测试。因为我只使用一台PC,所以我认为测试唯一合理的DoS攻击将是那些不需要发送大量请求的攻击类型,我的意思是:
慢HTTP报头
慢HTTP体
但是这些攻击是很多年前就知道的,所以现在还在测试这些漏洞有意义吗?这是否足以测试应用程序是否使用了不应该易受攻击的实际web服务器?我读过这个漏洞取决于配置,但是这个问题在现代服务器版本中仍然存在吗(我发现的大多数文章都来自2010-2014年)?
是否有任何其他的DoS测试,我应该执行,是合理的,在本地网络,不会影响我的网络,也被其他用户使用?
浏览 0提问于2017-11-20得票数 0
我的代码(参见)如下:
<h2>Knockout with jQuery UI Widget Bindings</h2>
<div>
<label for='from'>Date From:</label>
<input id='from' type='text'
data-bind='jqueryui: "datepicker",
value: from' />
<small>
浏览 1提问于2011-06-01得票数 1
回答已采纳
3回答
可能重复: 渗透测试和脆弱性评估之间有什么区别?
当人们谈论webapp安全测试时,他们通常是指漏洞扫描还是渗透测试?还是两者兼备?
我的理解是笔试应该包括漏洞扫描和额外的步骤开发,这是一个完整的webapp安全测试。
漏洞扫描通常由扫描仪完成,并且不包括攻击步骤。漏洞扫描完成后,我们可以进一步进行渗透测试,可以使用不同的笔试工具,也可以通过手工处理。
请评论一下。谢谢!!
浏览 0提问于2012-06-28得票数 1
这是课程提供商向我们提出的一个考试问题。问题是,是否可以通过使用安装在计算机上的cookie来识别web服务器的漏洞?这是一个一般性的问题。如果你知道,请回答。
浏览 1提问于2018-11-21得票数 0
2回答
我对一份涉及安全的工作很感兴趣,我很好奇作为一名笔测试员,从客户接近你到你完成测试的整个过程。
例如,测试应用程序需要采取哪些步骤?
浏览 0提问于2010-08-26得票数 0
我想在未来学习网络安全,但在做这件事之前,我相信我必须学习以下教育项目之一:
网络管理员
应用程序开发人员
IT管理员
这些程序中的哪一个是渗透测试器的基础?
浏览 0提问于2017-11-21得票数 -1
我有一个看起来像这样的div:
<div class="Value">
<em id="ProductPrice" class="ProductPrice VariationProductPrice">$83.00</em>
</div>
我需要一个脚本,将价格值的颜色更改为红色,如果它发生变化。
我是这样开始的:
var original_value = $("#ProductPrice").text()
if ($("#ProductPrice").t
浏览 0提问于2013-09-14得票数 0
1回答
可能重复: 学习网络安全攻击的最佳资源?
我对web应用程序渗透测试非常感兴趣。我翻阅了Youtube上关于这个主题的每一段好视频和大部分的书。我现在正在读缠结网。由于这些资源,我在我的国家的网站上报告了许多漏洞,并有机会扩大我的知识和遇到一些酷的人。如果您知道任何有价值的资源,免费视频或免费课程,请在这里张贴链接。非常感谢。
浏览 0提问于2012-07-31得票数 2
回答已采纳
可能重复: 从IT安全从业者的角度看Mac?
我是OSX世界的新手(以前是Windows背景),我有兴趣了解OSX在本地或虚拟主机上有什么是可能的,什么是不可能的。
OSX或Mac硬件在安全世界中是常见的吗?
对于我来说,从运行不同操作系统的专用VM运行pen测试会更容易吗?
我购买了Wifi菠萝,并注意到没有说明OSX,我很好奇,如果这是一个相关的硬件或软件平台启动笔试。
浏览 0提问于2012-09-22得票数 0
回答已采纳
4回答
详细信息:
客户希望详细了解渗透测试造成的成本,以及渗透带来的好处。
此外,它有效地意味着通过安全节省成本。
最后一点,我不能完全收窄,因此,我在这方面的问题:
我是否可以将安全问题的成本与发生并需要修复的错误相抵消?
这里有计算吗?
浏览 0提问于2021-11-02得票数 0
1回答
我正试图消除对安全测试的怀疑。
如果web应用程序(GUI、functional、用户角色等)利用rest服务采取行动,我认为应该同时测试web应用程序和web服务。
然而,供应商团队坚持不这样做,只想让web应用程序进行测试,并将web服务排除在外。
如果我是对的,请有人确认,必须对web应用程序和web服务进行检查吗?Thnx。
更新:添加更多关于这个的信息。
供应商是第三方,他为我们的一个团队编写了这个应用程序。该团队已经询问我的方向和下一步的步骤,以确保这个应用程序的安全。我建议我们对这个应用程序( web应用程序和web服务)进行五次访问,找出安全问题,并告诉供应商修复一些东西,而不
浏览 0提问于2018-11-13得票数 0
1回答
我将使用OAuth2启动一个用于身份验证的web (授权代码、隐式和客户端凭据流)。该协议是使用DotNetOpenAuth v4.3库实现的。虽然这个库有一些旧的代码库,但它看起来很可靠(找不到任何CVEs或主要的抱怨)。
但是,安全总比抱歉好,那么您建议我在启动之前运行哪些安全检查,以确保我的实现是否正常?
浏览 0提问于2015-03-08得票数 1
回答已采纳
1回答
由于我有不同的项目,具有不同的开发环境,所以,当然,我使用的渗透工具对我来说很重要。
这些项目:
项目1是一个纯web项目,只供一个客户使用。(漏洞扫描器?)
项目2是一个纯网络项目,带有互联网连接(漏洞扫描器?)
项目3--基于Java swing的旧“骨头”
对我来说很重要:
可以轻松地集成到CI作业中。
这个工具有一个很好的测试环境,有许多现成的选项(OpenVAS这里有一个25000的数据库)
时时刻刻
最好是开放源码
尤其是在Java环境下运行的最后一个项目,使我对此进行了相应的关注,也相应地对安全漏洞进行了笔测试。
你是否有相应的经验:
开源解决方案
集成到敏捷测试过程中
好到很好
浏览 0提问于2019-02-20得票数 2
我创建了一个蔚蓝的web应用程序,它发送http请求:
axios.post('http://*mypublicip*:3000/write/' + Name, {
content: data[1]
})
同时,我的计算机有一个正在运行的快速服务器:
app.listen(3000, () => console.log(`Server running on port ${port}`));
当我通过将请求发送到本地主机而不是我的ip在本地使用它时,我的所有功能都能工作。我还尝试将主机'0.0.0.0‘添加到我的app.listen中。我遗漏了什么?谢谢
浏览 0提问于2020-12-01得票数 0
回答已采纳
我有两个关于$subject的问题。
1) API产品发布任务是否可以配置审批流?
2)是否可以在开发者门户中配置用户注册的审批流程?
谢谢。
浏览 0提问于2019-03-03得票数 0
1回答
如何规划敏捷开发中的渗透测试?
、、、、
当然,众所周知,我们计划在sprint中进行当然单元测试(在我的例子中是Junit),我们在QfS中有一个GUI /,我们在sprint中相应地计划了这个框架。
这个问题--你应该把谁作为一个例子来规划-- OpenVAS还是Accunetix作为渗透测试(Web),你应该在冲刺中每隔多久规划一次呢?
你应该计划一个计时箱吗?
在从渗透测试中发现错误上应该花费多少精力?
浏览 0提问于2019-02-19得票数 0
回答已采纳
1回答
渗透测试与安全源代码审查
、、、
最近,我遇到了这样一种情况:一家机构雇用了第三方供应商来开发其业务应用程序。我提出了以下与渗透测试和独立的第三方安全源代码审查有关的问题:
独立的第三方安全源代码审查与渗透测试有何不同?
独立的第三方安全源代码审查和渗透测试的限制是什么,它们是否相互覆盖,它们是有限的where?
哪些独立的第三方安全源代码审查涵盖了渗透测试没有的,反之亦然?
浏览 0提问于2018-03-30得票数 1
回答已采纳
1回答
带排除项的随机数发生器
、、、
我有9x9个数字填充的numpy数组,我需要选择随机位置,并将这个单元格赋值为0,直到得到一定的困难值。顺便说一句,我的表应该满足一定的标准,在多个测试中对函数进行检查。
while current_difficulty > self.difficulty:
i = np.random.randint(0, self.board_size, 1)
j = np.random.randint(0, self.board_size, 1)
if self.unsolved[i, j] != 0 and self.__is_solvable()
浏览 3提问于2020-05-18得票数 0
回答已采纳
在常规CSS中,我可以使用它来设置一个备用图像,以防第一个图像不存在或加载失败: .container {
background-image: url(pics/img.webp), url(pics/img.png);
} 然而,当我在javascript中设置样式时(比如用React),该如何实现呢? 感谢您的帮助:)
浏览 22提问于2020-10-06得票数 0
回答已采纳
2回答
我们有一些新托管在AWS上的web应用程序。在我们使用Netsparker在应用程序URL上运行自动戊e之前,我们一直通过电子邮件发送Amazon并请求授权进行渗透测试。但是,在我们的团队中出现了一个问题,即在针对AWS中托管的应用程序运行渗透测试时,是否确实需要请求戊ST授权请求?他们中的一些人认为,我们只需要在接受AWS服务(如EC2、RDS、Aurora..etc)时才需要授权,而不是在接受托管在AWS中的应用程序时才需要授权。此页说,需要授权才能“对任何AWS资源进行渗透测试或起源于AWS资源”,但对于这种区别并不十分清楚。
根据我在AWS中对托管在AWS中的web应用程序进行自动五次
浏览 0提问于2019-02-03得票数 1
回答已采纳
1回答
sqlmap遇到403被禁止
、、、、
我正在尝试完成一个SQL 这里。
我确认在URL末尾添加一个'标记会导致MySQL语法错误,按照这教程,无需任何自动化工具就可以完成这个挑战。
下面是我使用的sqlmap命令:
sudo sqlmap -u "https://www.zixem.altervista.org/SQLi/level1.php?id=1" --dbs
以下是403错误输出:
[19:29:51] [INFO] testing connection to the target URL
[19:29:51] [WARNING] potential permission problems dete
浏览 0提问于2022-06-06得票数 1
我想要做的是从一个数组中连续上传多个文件,并将它们的响应保存在一个数组中: function* uploadTransactionFilesWorker({ payload: { onFail, onSuccess, data } }) {
try {
const { transactions } = data;
const finalData = yield transactions.map(item => {
const formData = new FormData();
formData.appe
浏览 7提问于2020-12-22得票数 0
3回答
我被要求创建一个标准操作程序(SOP),描述情报收集、目标剖析、漏洞识别、目标开发和事后开发的各个阶段。
我知道什么是标准操作程序,但却不知道如何创建一个程序。
你能帮我为这些阶段创建一个吗?
注意:我不是要求你为我做这件事,而是想要一个你可能知道或遇到过的教程或指南,我可以用它来为这些phases...thank你自己做。
浏览 0提问于2016-11-12得票数 4
1回答
我已经下载了一些JavaScript代码,它创建了一个信用卡付款图和没有超额付款。这段代码有固定的变量。 我想为用户提交添加HTML输入,但是脚本连接到远程引用,所以我正在努力添加一个函数来将脚本连接到HTML。HTML输入可以合并吗?如果可以,如何合并? <body>
<script type="text/javascript" src="https://cdnjs.cloudflare.com/ajax/libs/moment.js/2.20.1/moment.min.js"></script>
<sc
浏览 9提问于2020-12-31得票数 0
1回答
我当前存储特定供应商货币的模型如下所示,其中VendorCurrency值将类似于"en-US“或"en-CA”等等。
目前,我正在使用Web.Config中的标签,它设置了全球默认货币,但要求使网站的多货币来了。
有没有一种简单的方法来使用模型来确定在视图中动态使用哪种货币?
供应商:
public string VendorID { get; set; }
[Required]
[StringLength(100)]
[Display(Name = "Vendor Name")]
public string VendorName { get; set; }
浏览 0提问于2018-04-03得票数 2
1回答
常见网络攻击
、、、
可能重复:
如何在用户攻击中测试已经内置的网站?我已经在.NET中开发了一个过程管理系统,现在在将它放到生产环境之前,我想通过一系列的攻击来测试它。
如果有人能分享一些常见的在web应用程序上应用的攻击,我很感激。我知道一些常见的攻击,如未经授权的访问、URL嵌入攻击、sql注入等等。
请分享您的经验和建议,谢谢。
浏览 3提问于2012-12-21得票数 2
我在皮德雷克做一个两足机器人模拟。当步长为0.0001s时,我的机器人现在可以用逆动力学和优化接触力来很好地站立甚至跳跃。然而,当我设定踏步时间0.001秒时,脚会穿透地面。因为时间步长0.001s通常用于实时离散系统中。
是否有可能防止(站立时脚和地面之间的)相互渗透?我认为我所使用的接触是pydrake中的惩罚方法,与此相关的参数如下所示。
参数(当步长时间为0.0001s):
plant.set_penetration_allowance(0.0001)
plant.set_stiction_tolerance(0.001)
地面设置如下:
groun
浏览 1提问于2021-05-19得票数 2
2回答
黑匣子渗透测试是一种检查web应用程序漏洞的方法.它可以找到一些漏洞,但不是全部。
平均而言,黑匣子存在的漏洞比例是多少?有人知道这方面的任何数据或证据吗?
浏览 0提问于2012-03-14得票数 7
回答已采纳
在我的VB.net脚本任务中,Network\Network没有足够的权限来执行某些代码,我遇到了问题。它在调试期间执行得很好,但是当我创建一个作业代理来执行它时,我会收到与网络服务的权限有关的以下错误:
10/23/2015 15:36:59,Guest Satisfaction Subscriptions,Error,1,DILBERT,Guest Satisfaction Subscriptions,Guest Satisfaction Subscriptions,,Executed as user: TAYLORS\DILBERT$. Microsoft (R) SQL Server
浏览 0提问于2015-10-27得票数 0
我想学习Pen测试,并且已经了解Java,并且一直在学习Python,并且对Python语法相当满意。我对Linux和TCP/IP也有一些了解。我的问题是:
我如何学会用Python编写用于钢笔测试的工具,因为我不知道从哪里开始,目前我只使用它来解决Top的实际问题。我可以在Java中学到什么,我可以应用到钢笔测试中?作为一个有抱负的钢笔测试员,我能用什么资源来帮助我?
我不想成为一个使用别人的工具却什么也不懂的人。我想获得一个坚实的基础在钢笔测试,特别是编程方面。
浏览 0提问于2013-12-28得票数 2
我有一些shapefiles,我试图转换成.osm,但没有成功。经过几个小时的尝试,我正在寻找一种不同的方法。我想知道我是否可以从Postgres导入到Open Street Maps。
我真的很努力,但我找不到方法。
浏览 0提问于2012-01-21得票数 5
回答已采纳
我是一个新的交响乐,并想添加一个新的设计。在这里,我已经附加了文件,我想集成在用户端。这怎麽可能?!
浏览 0提问于2011-07-12得票数 0
回答已采纳
长话短说(如果你真的想切入正题,就忽略这一段):
我正在使用CuteEditor编辑非常具体的控件页面。在页面查看器应用程序中,这些控件使用IMG canvii来做各种时髦的动画,但在CuteEditor中(在CuteEditor中做同样的事情是不现实的),它们由IMG元素表示以实现可编辑性。这些控件有很多属性,这些属性都是从SQL数据库中保存和加载的。不同类型的控件有不同的可能的属性类型,并且在CuteEditor中,这些属性被存储为元素的属性(例如PipColour="Green")我已经为SQL编辑器对话框创建了一个自定义标签,当控件类型被更改时,CuteEditor数据
浏览 0提问于2010-11-02得票数 0
回答已采纳
1回答
我正在用Ionic开发一个移动应用程序。我有一个共享按钮,用户可以共享一个网站链接。我想有一个功能,用户可以预览网站,因为我们可以在Facebook上看到。
我尝试了大多数的链接,但没有一个干净的工作。
在后端,我有一个播放服务器,在前端我使用的是Ionic和AngularJS。
有人能给我推荐一些我可以使用的好API吗?
浏览 3提问于2016-08-31得票数 0
1回答
N层数据检索的区域参数
、、、
我想知道在我的web应用程序层中最好的位置是用户区域设置,以格式化数据库结果查询的日期列输出。
我可以从HttpContext.Request获取区域设置,并将其作为字符串传递给业务层,然后在业务对象层中使用System.Globalisation创建一个DateTimeFormatInfo对象。
即。CultureInfo.CreateSpecificCulture(cultureString).DateTimeFormat;= DateTimeFormatInfo dtfi
业务层从数据访问层获取数据,使用LINQ查询选择器,可以使用上面的dtfi对象设置日期列的格式。
这将避免WPF应
浏览 21提问于2013-06-10得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
