安全性测试
关注
分享
扫一扫
文章平均质量分 68
卓码软件测评
卓码软件测评<a href="https://link.zhihu.com/?target=http%3A//www.zmtests.com/?csdn" class=" external" target="_blank" rel="nofollow noreferrer"><span class="invisible">http://www.</span><span class="visible">zmtests.com</span><span class="invisible"></span></a>
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
第三方软件测试:【深度解析SQL注入攻击原理和防御原理】
SQL注入是一种Web安全漏洞,攻击者通过输入恶意SQL代码欺骗数据库执行非预期命令。其本质是程序错误地将用户输入数据当作代码执行。攻击方式包括联合查询、报错注入、布尔/时间盲注等,利用拼接SQL语句的缺陷绕过验证。防御关键在于使用参数化查询(预编译语句),将SQL结构与数据分离,并配合输入验证和最小权限原则。这种根本性防护能有效消除SQL注入风险。原创 2025-08-29 16:11:50 · 383 阅读 · 0 评论 -
【第三方网站测评:会话管理漏洞的测试与加固】
会话管理是Web应用安全的关键环节,用于在无状态HTTP协议上维持用户状态。主要漏洞包括会话令牌生成、传输、验证和销毁过程中的缺陷,可能导致会话劫持和未授权访问。测试方法包括:1)令牌强度测试,检查随机性和熵值;2)传输安全测试,确保HTTPS加密;3)令牌固定/劫持测试;4)生命周期管理测试;5)Cookie属性测试。防御措施包括强化令牌生成、确保传输安全、完善生命周期管理、正确配置Cookie属性等。这些措施可有效防范会话管理漏洞,保护用户数据安全。原创 2025-08-29 15:21:12 · 897 阅读 · 0 评论 -
软件测评报告:第三方软件安全测评(SQL注入/XSS)漏洞等级判定标准
第三方软件测评采用CVSS3.1标准,将SQL注入与XSS漏洞划分为高危(9.0-10.0)、中危(6.0-8.9)、低危(3.0-5.9)和无风险(0.0-2.9)四个等级。高危漏洞可直接导致系统越权访问或数据泄露,需72小时内修复;中危漏洞需特定条件触发,应1周内完成输入校验;低危漏洞仅造成轻微异常,可纳入常规优化处理。测评案例显示,不同接口的SQL注入漏洞根据实际危害程度被判定为不同等级,并采取相应修复措施。原创 2025-08-27 13:23:48 · 713 阅读 · 0 评论 -
软件检测报告:XML外部实体(XXE)注入漏洞原因和影响
XXE漏洞的根源在于XML解析器对文档内容(特别是文档类型定义DTD部分)的过度信任和错误配置。要理解XXE,这里必须理清几个概念:原创 2025-08-26 14:52:25 · 594 阅读 · 0 评论 -
网站测试报告:WEB应用反CSRF的本质与防御机制
CSRF (跨站请求伪造) 本质:攻击者诱骗已登录目标站点的用户,在不知情的情况下提交一个恶意请求。该请求利用用户浏览器中已存储的认证信息(如Cookie、Session),以该用户的身份执行未授权的操作(如修改密码、转账)。原创 2025-08-26 14:39:58 · 562 阅读 · 0 评论 -
第三方软件功能性测试:文件下载测试
本文总结了第三方软件文件下载功能测试的三大要点:1)格式与完整性验证,包括文件类型兼容性和动态生成文件数据准确性;2)大文件下载性能和带宽限制测试;3)安全测试,涵盖越权访问、目录遍历攻击防护和响应头安全配置检查。测试需关注功能兼容性、性能稳定性及系统安全性等关键指标。原创 2025-08-25 13:19:59 · 452 阅读 · 0 评论 -
第三方软件功能性测试:软件文件上传功能测试
文件上传功能测试要点:1.格式验证需测试白/黑名单机制、扩展名大小写及双重扩展名处理;2.严格校验MIME类型及二进制签名;3.大小限制需测试前后端拦截及服务器配置;4.并发上传、中断恢复和恶意文件检测等场景。通过多维度测试确保上传功能安全可靠。原创 2025-08-25 11:43:08 · 804 阅读 · 0 评论 -
Postman来做API安全测试:身份验证缺陷漏洞测试
Postman来做API安全测试:身份验证机制的缺陷通常会导致攻击者能够越权访问本不应访问的数据或功能。原创 2025-08-21 14:48:15 · 426 阅读 · 0 评论 -
【ZAP (Zed Attack Proxy) 自动化扫描配置:爬虫策略怎么用】
ZAP (Zed Attack Proxy) 是一款强大的开源渗透测试工具,由 OWASP 基金会维护。要高效地使用其自动化扫描功能,核心在于正确配置爬虫(Spider)以发现入口点,并精细调整漏洞验证规则以确保扫描质量。原创 2025-08-21 14:17:45 · 847 阅读 · 0 评论 -
【网站测试:CORS配置错误引发的安全风险及测试】
跨域资源共享(CORS)作为一种现代浏览器普遍采用的访问控制机制,其配置不当可能显著扩大Web应用的受攻击面,引入一系列严重的安全隐患。尽管CORS策略的本意是在保障安全的前提下实现跨域数据交互,但错误配置往往会导致敏感信息泄露甚至身份认证机制被绕过。原创 2025-08-20 13:39:00 · 706 阅读 · 0 评论 -
软件测试:如何利用Burp Suite进行高效WEB安全测试
Burp Suite 被广泛视为 Web 应用安全测试领域的行业标准工具集。要发挥其最大效能,远非简单启动扫描即可,而是依赖于测试者对其模块化功能的深入理解、有机组合及策略性运用。一次高效的测试流程,始于精细的环境配置与清晰的测试逻辑。原创 2025-08-20 13:34:49 · 451 阅读 · 0 评论 -
【第三方软件测评之安全测试:敏感数据是否明文传输或存储?】
第三方软件测评的安全测试,敏感数据的传输与存储是重中之重 ,用户的身份证号、银行卡信息、登录密码这些数据,一旦以明文形式暴露,就等于给攻击者开了方便之门。第三方软件测评时会先抓包分析数据传输链路,不管是 APP 还是 WEB 端,只要涉及敏感信息传递,都会检查是否启用 HTTPS 等加密协议,看数据包里有没有直接显示的明文内容。比如用户登录时,密码要是没经过加密直接传送到服务器,哪怕功能能正常使用,在第三方软件测评的安全测试里也会将其判定为高危缺陷。原创 2025-08-18 11:22:52 · 635 阅读 · 0 评论