650) this.width=650;" border="0" alt="" src="http://img1.51cto.com/attachment/201012/175325228.jpg" /> 650) this.width=650;" border="0" alt="" src="http://img1.51cto.com/attachment/201012…

在做了之前的SQL SERVER之后,便很想尝试一下MYSQL的入侵测试已经防范,与大家一起分享. 总的来说,我一直在用的是MYSQL,对MYSQL比较熟悉,相比较而言,感觉MYSQL更安全,这只是我自己胡乱猜想的,希望不要引起什么争论神马的...一本馒头引发的血案... 正题之一 物理机:Win7 虚拟机:XP 给予mysql远程权限: grant all privileges on *.* to 数据库账号@给予权限的IP identified by '数据库密码'; flush privi…

我之所以要做这样的测试是因为这一切都是有背景的!!!被黑客黑的代价!!!伤心ing..... 背景: 测试: 物理机:Win7 虚拟机:xp 扫描工具(我想我最好不写扫描器的名字比较好): 密码之所以是123456是因为前一阵子做SQL SERVER的分布式数据库的实验,然后就把密码弄得很简单. 物理机上似乎好像感觉有很多漏洞呀呀呀呀呀呀呀.表示很蛋疼 获取到了SQL SERER 的sa帐号的密码,用某软件(我想我最好不写软件的名字比较好)进行连接: 这个软件功能真心强大!! 360报警了: 3…

物理机系统:Win7 虚拟机系统:Win2003 Netstat –an 查看本机端口 Netstat –ano 查看本机端口+PID 通过本机上操作(比如登录网站),然后命令,查看对方IP以及端口 首先使用360极速浏览器插件查看本机ip 本机IPv6地址(临时),感觉很屌!!!! 网页访问百度之后 百度IP Netstat –ano查看 内部地址转外部地址 出现问题:本地地址访问的百度是172.19.166.5,但是没有172.19.166.5与外部地址的转换,初步怀疑是IPv6,但是百度i…

近期的项目中接触的基本都为H5的测试工作,从项目初期评审到测试工作的完成过程中,遇到了很多问题是与APP测试方法不太相同的地方,在此希望总结测试过程遇到的问题及新思路给之后会接触到H5测试的同学. 这篇文章会讲解以下几个内容: 1.移动端开发模式 2.HTML5概念 3.H5.APP.小程序对比 4.H5测试设计 5.测试工具 一.移动端开发模式    开篇先讲解一下目前移动端常用的三种开发模式,主要有原生APP(Native App).混合APP(Hybrid App).WEB APP三种.原…

前置解释:1.单纯从功能测试的层面上来讲的话,APP 测试.web 测试和H5测试在流程和功能测试上是没有区别的2.Web项目或pc项目都是在电脑上进行测试的.常见的PC项目架构有BS架构和CS架构的,BS架构就是通过浏览器(browser)请求后台服务(server),后台返回到响应内容显示在浏览器上3.app测试平台分为安卓和IOS端:安卓测试需要在安卓手机上安装开发提供的apk测试包:IOS测试需要将手机UUID提供给开发安装ipa测试包进行测试. 不同点:1.系统架构不一样a.web端测…

现象描述 在使用ABAP报表展示数据的时候会涉及到金额类字段,在手动计算金额的时候,有时会发生存在负值而无法正常展示的情况.  处理过程 ABAP报表的数据展示常用的方法有两种,分别是表控制和ALV 1.使用ALV展示时负值不会报错,但是金额字段的负号默认显示在结尾如图 如果希望按照习惯将负号置于数字前段,则需要手动编写一个转换例程的函数来实现. 首先创建一个函数,命名规则CONVERSION_EXIT_XXXX_OUTPUT,其中XXXX为自定义名称,参考代码为 再创建对应的另外一个函数,命名…

PHP代码审计 目录 1. 概述3 2. 输入验证和输出显示3 2.1 命令注入4 2.2 跨站脚本4 2.3 文件包含5 2.4 代码注入5 2.5 SQL注入6 2.6 XPath注入6 2.7 HTTP响应拆分6 2.8 文件管理6 2.9 文件上传7 2.10 变量覆盖7 2.11 动态函数7 3. 会话安全8 3.1 HTTPOnly设置8 3.2 domain设置8 3.3 path设置8 3.4 cookies持续时间8 3.5 secure设置8 3.6 session固定9 3…

1,检索特定字符的相同行,用于过滤点一些命令行的头说明…

转:http://www.ctocio.com/security/cloudsecurity/6594.html 一.Vistumbler扫描器 WiFi 扫描器能能发现附近AP的详细信息,例如信号强度.安全模式和MAC地址等.而WiFi嗅探器则能捕获无线网络的原始数据包,并将这些包导入其他工具例如解密工具.Vistumbler属于WiFi扫描器,是一个开源的Windows程序,可以显示基本的AP信息,如实际的认证和加密方式,甚至能读出SSID和RSSI.还能图形化显示信号强度.Vistumbl…

hon编写的Linux网络设置脚本,Debian Wheezy上测试通过       阿里百川梦想创业大赛,500万创投寻找最赞的APP 技术细节参见Linux网络设置高级指南 注意事项参见程序注释 快速使用指南: 根菜单下,直接回车意味着刷新 其它输入的时候,除了标明特定含义外,直接回车通常意味着取消或者跳过 net-config.py ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29…

以下是的15款免费(接近免费)的WiFi网络入侵测试工具.这些工具将帮你发现流氓AP,弱Wi-Fi密码等安全隐患,在黑客光临之前把漏洞补上. 一.Vistumbler扫描器 Kismet是一个开源的WiFi扫描器,包嗅探器和入侵政策系统,可以在windows.Mac OSX.Linux和BSD上运行.Kismet能显示AP详细信息,包括隐藏的SSID,还能捕获原始无线数据包,还可以将数据导入Wireshark.TCPdump等工具进行分析.在windows环境,受驱动程序限制,Kismet只能与…

目录 有线等效加密( WEP ) Wi-Fi 访问保护( WPA ) Wi-Fi 访问保护 II( WPA2 ) WPA-PSK/WPA2-PSK 无线网标准 有线等效加密( WEP ) 有线等效保密( WEP )是世界上使用最广泛的 Wi-Fi 安全算法.因为历史的缘故,以及向后兼容的原因,很多路由器的控制面板中,用户会发现该算法位于加密类型选择菜单的首位. WEP 于199年9月被批准作为 Wi-Fi 安全标准.即使在当时那个年代,第一版 WEP 的加密强度也不算高,因为美国对各类密码技术的…

1. Web测试中关于登录的测试 2. 搜索功能测试用例设计 3. 翻页功能测试用例 4. 输入框的测试 5. Web测试的常用的检查点 6. 用户及权限管理功能常规测试方法 7. Web测试之兼容性测试 8. Web测试-sql注入 9. Web测试中书写用例时要考虑的检查点 10. 手机电子邮件测试用例 11. 记事本与日历的测试用例 12. Web测试总结 13. 让web站点崩溃最常见的七大原因 14. Web应用程序是否存在跨站点脚本漏洞 15. Web测试总结(全) 16. 理解we…

本文由阿德马翻译自国外网站,请尊重劳动成果,转载请注明出处,谢谢 Nmap是一款网络扫描和主机检测的非常有用的工具.Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器.它可以适用于winodws,linux,mac等操作系统.Nmap是一款非常强大的实用工具,可用于: 检测活在网络上的主机(主机发现)检测主机上开放的端口(端口发现或枚举)检测到相应的端口(服务发现)的软件和版本检测操作系统,硬件地址,以及软件版本检测脆弱性的漏洞(Nmap的脚本)Nmap是一个非常普…

评估思路 移动APP面临的威胁 风起云涌的高科技时代,随着智能手机和iPad等移动终端设备的普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用的爆炸式增长.在海量的应用中,APP可能会面临如下威胁: 新技术新业务移动APP评估思路 在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估: 运营商自动化APP测评思路 运营商自主开发的自动化APP安全检测工具,通过"地.集.省"三级机构协作的方式,…

  1.      Web测试中关于登录的测试... 1 2.      搜索功能测试用例设计... 2 3.      翻页功能测试用例... 3 4.      输入框的测试... 5 5.      Web测试的常用的检查点... 6 6.      用户及权限管理功能常规测试方法... 8 7.      Web测试之兼容性测试... 9 8.      Web测试-sql注入... 10 9.      Web测试中书写用例时要考虑的检查点... 11 10.        手机电子邮…

说明 本文所有测试均以青岛为例. 本文所列接口城市代码(cityid)参数都使用的 "新编码": 全国城市代码列表(新) 本文接口均不是官方接口,仅供测试使用! 腾讯天气 空气质量指数 (aqi) http://weather.gtimg.cn/aqi/01012310.json?callback= 返回unicode字符编码,并且数值是浮点数: [  {  "pm2_5": 0,  "primary_pollutant": null,  &qu…

转载:http://www.51testing.com/html/44/15020244-908645.html Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等. 作为测试人员,需要了解XSS的原理,攻击场景,如何修复. 才能有…

1.首先请不要使用此方法去搞破坏,去蹭Wi-Fi,因为不装逼地说,我认为技术本身的价值很大,尤其是在学习这个技术的过程中解决遇到的问题,当经过重重困难最后终于成功之后的喜悦又怎么能拿去蹭网呢.我在此过程中都是用自己路由做的测试,相信大家也可以从文中看到,所以请不要用技术做一些不好的事情. 2.欢迎使用Kali Linux 的朋友互相交流,大家共同进步学习. 索引: 1.工具 2.需要了解的知识 3.破解WEP 4.破解WPA/WPA2 5.其他 6.Q&A 7.参考文章 1.用到的工具: Air…

OpenSSH后门获取root密码及防范 相对于Windows操作系统,Linux操作系统的密码较难获取.而很多Linux服务器都配置了Openssh服务,在获取root权限的情况下,可以通过修改或者更新OpenSSH代码等方法,截取并保存其SSH登录账号密码,甚至可以留一个隐形的后门,达到长期控制linux服务器的目的.在很多Linux系统被入侵后都会在系统中留后门,使用OpenSSH留后门是入侵者的惯用方式之一,OpenSSh后门比较难于检测,本文就如何添加OpenSSH后门以及防范后门添加…

关于scapy Scapy的是一个强大的交互式数据包处理程序(使用python编写).它能够伪造或者解码大量的网络协议数据包,能够发送.捕捉.匹配请求和回复包等等.它可以很容易地处理一些典型操作,比如端口扫描,tracerouting,探测,单元测试,攻击或网络发现(可替代hping,NMAP,arpspoof,ARP-SK,arping,tcpdump,tethereal,P0F等).最重要的他还有很多更优秀的特性--发送无效数据帧.注入修改的802.11数据帧.在WEP上解码加密通道(VOI…

观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. SQL注入攻击的种类 知彼知己,方可取胜.首先要清楚SQL注入攻击有哪些种类. 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句.这样就会导致应用程序的终端用户对数据库上的语句实施操纵.比方说,下面的这行代码就会演示这种漏洞: s…

初次接触: 初次接触JavaScript注入漏洞后,如果不对这种漏洞的作用机理仔细分析并提取出其发生的某种模式,你就不能做到快速的发现项目中可能存在的所有注入风险并在代码中防范. 发生模式: JavaScript注入漏洞能发生作用主要依赖两个关键的动作,一个是用户要能从界面中注入JavaScript到系统的内存或者后台存储系统中:二是系统中存在一些UI会展示用户注入的数据. 比如注入漏洞最常见的就是发生在各种类型的名字中,比如系统中的人名等等,因为名字往往会在各种系统上显示,如果在某个用户输入名…

一.注入攻击种类     1. GET注入         输入参数通过URL发送.     2. POST注入         输入参数通过HTTP正文发送     3. COOKIE注入         输入参数通过HTTP cookie发送     4. HTTP Headers注入         通过http提交应用程序时使用的头   二.各种攻击所占比及防范程度     1. 漏洞发现占比                  从上图中,可以看到,大部分的http header和http…

第一步:设置自己的无线网,并且分享给VM8这个虚拟网卡 第二步:查看VM8网卡的IP地址,如图是192.168.137.1 第三步:设置虚拟机的配置:选择VM8网卡并且是NAT的 第四步:设置虚拟机里面的CentOS系统的IP地址: 命令:vi /etc/sysconfig/network-scripts/ifcfg-eth0 ip地址和第二步里面的192.168.137.1在同一个网段就行,网关就是VM8网卡的ip地址:192.168.137.1,其他的设置不变 这个是更改DNS地址的命令:…

端口扫描与嗅探都是黑客常用的招数,其目的是定位目标计算机和窃取隐私信息.为确保自己计算机的安全,用户需要掌握防范嗅探与端口扫描的常见措施,保障个人隐私信息安全. 一.掌握防范端口扫描的常用措施 防范端口扫描的常见措施主要有两种: 关闭闲置和有潜在危险的端口 利用防火墙屏蔽带有扫描症状的端口 1.关闭闲置和有潜在危险的端口 对于黑客而言,计算机的所有端口都有可能成为攻击的目标,即计算机所有对外通信端口都存在潜在的威胁.为了不影响系统的运行和某些应用软件的使用,用户需要将一些系统必需的通信端口服务开…

服务器如何防范CC攻击CC攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎更有技术含量一些.这种攻击你见不到虚假IP,见不到特别大的异常流量,但造成服务器无法进行正常连接,听说一条ADSL足以搞掂一台高性能的Web服务器.由此可见其危害性,称其为“Web杀手”也毫不为过.最让站长们忧虑的是这种攻击技术含量低,利用工具和一些IP代理一个初.中级的电脑水平的用户就能够实施攻击.因此,大家有必要了解CC攻击的原理及如果发现CC攻击和对其的防范措施. 1.攻击原理 CC攻击的原理就…

当每天走到哪都要拿一根数据线进行项目测试的时候,总是有一些焦急和烦躁的,如果能够无线连接测试就在好不过了. 这样不再是什么难事了,只需要几步走: 在进行无线连接测试的过程中,你的手机必须root了,这个很重要.如果需要,就下一个刷机精灵,root一下吧. 第一步:无线连接手机和PC电脑,让他们都连接相同的无线网中. 电脑: 手机: 第二步:将手机和PC通过无线建立连接 1.通过360手机助手,点击无线网络连接 2.确定连接 第三步:下载adbWireless放到手机上,进行USB无线连接 第四步…

前言    系统定制在前面的博文中我们就有谈到过了,不过那个裁减制作有简单了点,只是能让系统跑起来而,没有太多的功能,也没的用户登录入口,而这里我们将详细 和深入的来谈谈Linux系统的详细定制过程和实现用户例如.远程登录和Nginx安装过程.一步一步从头开始定制属于我们自己的系统. 正文    首先我们先来简单的介绍一下我们这里定制属于自己的Linux系统的基本元素.而其实一些相关的信息也可以参考我前面写过的博文:总结之:CentOS 6.4系统裁减详解及装载网卡步骤 一个定制的linux内核…