WEB安全测试手册 By:授客 QQ:1033553122 欢迎加入软件性能测试交流QQ群:7156436 概述 Ø          目的 Ø          适用读者 Ø          适用范围 Ø          注意事项 Ø          测试级别说明 Ø          测试过程示意图 1. 1.1      运行帐号权限测试 1.2      Web服务器端口扫描 1.3      HTTP方法测试 1.4      HTTP PUT方法测试 1.5      HTTP…

信息收集 网络搜索 目录遍历:site:域名 intitle:index.of 配置文件泄露:site:域名 ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt | ext:ora | ext:ini | ext:git | ext:svn | ext:DS_Store 数据库文件泄露:site:域名 ext:sql | ext:dbf | ext:mdb 日志文件泄露:site:域名 ex…

一.什么是web服务  web服务在简单术语中可被定义为通过安装了特定设备或服务器到另一装置或客户端应用程序通过WWW彼此通信后的应用程序(万维网)提供的服务. Web服务通常在计算机网络的应用层上使用HTTP或HTTPS协议,其中一个应用程序以XML或JSON的形式传输数据或发送请求并接收由客户端应用程序作为Web服务处理的响应,是底层软件平台,体系结构技术. 例如,用.NET平台编写的应用程序希望从JAVA平台中的应用程序以Web服务的形式访问数据,这可以通过在应用程序之间传递XML请求和响…

i春秋作家:Vulkey_Chen 首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ,参与了<web安全测试学习手册>的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已经成型,先发出来让大家看看,欢迎点评,也可以加入我们一起来撰写~ 业务逻辑测试 介绍:这里对Web应用业务逻辑方面的安全缺陷进行介绍和常见案例讲解. 任意用户密码重置 常见的缺陷 * 1.验证码类缺陷 场景: 1.1 验证码回显在客户端(响应主体.Set-…

Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装  一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装VirtualBox 创建一个Kali Linux虚拟机 更新和升级Kali Linux 为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件) 创建一个属于自己的靶机 配置网络使虚拟机正常通信 了解靶机上易受攻击的web应用程序 1.5.创建客户端虚拟机 现在,我们准备创建下一个虚拟机…

Web渗透测试漏洞手册及修复建议 0x0 配置管理 0x01 HTTP方法测试 漏洞介绍: 目标服务器启用了不安全的传输方法,如PUT.DELETE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传.修改.删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件. 修复建议: 1.关闭不安全的传输方法,只开启POST.GET方法. 2.如果服务器不使用 WebDAV 可直接禁用,或为允许webdav…

一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装VirtualBox 创建一个Kali Linux虚拟机 更新和升级Kali Linux 为渗透测试配置web浏览器 创建一个属于自己的靶机 为正确的通信配置虚拟机 了解易受攻击的虚拟机上的web应用程序 介绍 在第一章中,我们将介绍如何准备我们的Kali Linux安装,以便能够遵循书中所有的方法,并使用虚拟机建立一个具有脆弱web应用程序的实验室. 1.1.在Windows和Linu…

一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: l  在Windows和Linux上安装VirtualBox l  创建一个Kali Linux虚拟机 l  更新和升级Kali Linux l  为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件) l  创建一个属于自己的靶机 l  配置网络使虚拟机正常通信 l  了解靶机上易受攻击的web应用程序 介绍 在第一章中,我们将介绍如何准备我们的Kali Linux安装,以便能够遵循书中所有的方法,…

Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击 文/玄魂 目录 Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击...................... 1 DoS............................................................................................................... 2 DDoS.......................…

才开始做测试就接触的web端,后来也接触app端,所以在这里对于自己工作中所接触到的做一些总结(总要养成总结的好习惯). 对于web端和移动端app,功能方面的测试,例如测试设计方法这些都大同小异,都是根据等价类.边界值.场景法.错误推测法等设计方法来进行测试的: app端作为手机上安装的移动端软件更要与手机的功能紧密联系起来,比如尤为重要的就是 1.中断测试: 1).来电.去电中断:在操作软件期间,来电挂断.来电被挂断.去电挂断.去电被挂断 2).短信息中断:接收短信.查看短信 3).其他中断…