aovenus的专栏-测试新时代（微信公众号：测试新时代）

基于bWAPP靶场，使用sqlmap实现脱库实战

自动化注入攻击之 FuzzDB和BurpSuite 组合拳

学习安全资源汇总

HTTP Header安全标志：协议级别的安全支持

[CVE-2017-12615] Tomcat任意写入文件漏洞重现

docker bench 在github下载地址：GitHub - docker/docker-bench-security: The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker containers in production. Docker Bench是一个开源项目，该项目按照互联网安全中心（Cente...

存安全漏洞：雅虎45万用户密码遭泄露

发现可高速缓存的登录页面【问题描述】采用IBM Appscan进行扫描测试，发现可高速缓存的登录页面，给出的修改建议为：【解决方法】1、首先简单了解下HTTP通用信息头中的Pragma的含义：Pragma头字段的设置值只能固定为no-cache，即Pragma：no-cache。当Pragma头字段用于响应消息时，指示HTTP1.0客户端不要缓存文档；当用于请求消息时，指示

Web安全测试之——获取正确的目标信息在战争中，通常都会需要花费大量时间去搜索、收集敌人的情报信息，用于及时了解敌人的动态，便于及时准备和调整战争部署，充分合理的利用自身的攻击能力——知彼知己者，百战不殆《孙子.谋攻》Web安全测试也是如此，为了尽可能多的找出系统存在的重大安全bug，就需要进行“攻击”，而在攻击之前，首先要做就是收集、获取目标相关信息——通常所说的踩点。 1、淘金

Web入侵安全测试与对策从web客户端进行测试需要考虑的特殊问题：1、恶意的用户可以篡改客户机上的数据——一切皆有可能结论：在没有得到服务器端对数据的双重认证时，不要在客户端执行重要的运算和验证。2、来自web客户机的全部数据流都需要被歧视为不可信赖的，并且对其进行验证——信任来自认可结论：来自客户机的所有数据都需要被仔细验证。3、用户对客户端的所有代码都有访问权限——我的

默认情况下，web应用部署在默认路径下，如IIS默认在C:\Inetpub下，如果攻击者能够猜测到文件名和存放位置，就可以直接在浏览器的地址栏里输入绝对地址和文件名来访问这些文件。如何使用这种攻击？在对目标系统进行了页面映射（可以使用Web crawlers、wget、BlackWindow工具）之后，就可以很容易知道页面命名转换的模式或是一些明显缺少的部分了。如何实施这种攻击？对

对于web应用编程中，有许多重用的代码或库文件，但是这些代码或库可能不是那么可靠，存在缺陷。在默认安装web服务器时，一般都会包含样例程序和帮助脚本及文档，但由于历史原因，这种做法其实是应当避免的。如何使用这种攻击？安装web服务器时和开发过程的结尾。安装web服务器和应用程序的运行环境，需要知道web服务器上安装了那些代码，以保证所攻击的漏洞没有被这些代码补上。开发过程的结尾

客户机上的代码非常容易遭篡改，重要的任务应当在服务器上运行。攻击4：绕过对输入选项的限制如何使用这种攻击？在提供了任何输入方式的情况下，就可以使用绕过对输入选项的限制攻击。在多数应用程序中，输入控件构成了其中的大部分内容，通常有复选框、单选按钮、下拉菜单等，当然也包括标准的文本输入框，但是限制了可以输入的最大文本长度。例如当当网用户注册页面，如下图所示：通过用fir

授权测试专题之——权限提升测试权限提升是从一个特权等级升级到另一个特权等级的问题。在此阶段，测试需要确认用户不可能在应用程序内部使用特权提升攻击以修改自己的特权/角色。 一般权限提升分为垂直提升和横向提升。垂直提升指某个用户从低权限通过利用某种应用漏洞或手段，提升为拥有高级别的访问权限，如从普通角色升级为管理员角色。横向提升指某个角色用户可以访问其它类似角色用户的资源信息，如角

授权测试专题之——绕过授权模式测试对于是否能够绕过系统授权认证，通常需要从以下几个方面进行评估测试：l  当用户没有通过验证时，是否有可能访问该资源？l  是否有可能在注销后访问该资源？l  是否有可能获得只应由拥有不同角色/特权的用户才能访问的功能和资源？l  尝试作为管理员用户访问应用程序并追踪所有的管理职能。如果测试者用普通用户身份登录是否有可能访问这些管理职能？l  因拥有

【背景】最近在学习一些有关WEB安全测试方面的知识，以下是阅读《Web系统安全和渗透性基础》书，学习到的渗透测试方法和步骤，做个笔记记录下。 渗透性测试三阶段九步骤： 三阶段：测试计划和测试准备评估、实施报告、清理和破坏测试过程产物九步骤: 信息搜集网络绘制漏洞识别渗透获得访问和特权升级进一步枚举攻入远程用户、站点维持

1、什么是信息安全测评？信息安全测评（testing and assessment of information security）,指测评人员在系统工程指导思想下，遵守国家有关标准、规范和流程，通过设计各种测评案例，对一个信息系统的安全性能和功能进行“标准符合性”论证的过程。2、测评过程关心的问题系统设计方案是否遵守国家有关标准？系统设计方案是否得到严格执行？系统建成后是否达到设计方案的要求？系统是否出现方案中未指明的错误等等。

1、明确安全测试与传统软件测试的不同传统软件测试侧重于功能需求验证，缺少安全方面的关注，而安全测试则偏重于如何绕过这些功能限制，去操纵软件系统，即非法进入系统，并进行操作。2、安全测试需要具备的基本条件——像攻击者一样思考 确定安全测试优先级通过对要执行的安全测试进行评估并进行优先级排序，就能在有限的时间和资源条件下，最大限度的发现最多数量且最为严重的缺陷。 使用辅助工具进行探测合适的探测工具可以帮你更快的发现问题。 从漏洞知识库中学习  及时了解当前新发现的漏洞及解决方法，保持知识更新。

【安全设计准则】永远不要相信客户端的输入

【备注】上图来自OWASP测试指南（中文版）

1.    保护用户认证信息和共享的传输中和存储中的秘密；（比如最近优快云、天涯社区数据库被曝，用户密码就是明文存储，没有保护措施）附：优快云、天涯社区道歉信2.    在现实中隐藏所有保密信息(即，密码，帐户) ；3.    在一定数量的登录失败后，锁定用户帐号；4.    用户登录失败后不显示具体失败信息;5.    只允许输入由字母数字并且包含特殊字符

WebScarab入门指南转自：http://blog.youkuaiyun.com/clangke/article/details/6254677WebScarab具有大量的功能，因而可能会让新用户有一种无从下手之感。为求简单起见，拦截和修改浏览器和HTTP/S服务器的请求和响应可以作为初学者很好的入门课，因为这无需学习太多的内容就可以完成。首先，我们假定您能够自

web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据POST请求时用于提交复杂表单最常见的方法，不同于GET取值，我们无法仅通过查看网页浏览器窗口顶部的URL来得知所有被传递的参数，参数经由连接从我们的浏览器传送到服务器。我们可以使用web代理工具，观察提交的POST数据，而WebScarab就是一种web代理，代理介于浏览器与真实的web服务器之间，所

web安全测试之基本观察学习笔记——使用Tamper Data观察实时的响应头              响应头是在服务器发送页面的HTML代码之前，从服务器发送到浏览器的。这些头信息包含以下信息：通信方式、页面类型、截止日期、内容类型等元数据。我们可以使用Firebug查看到响应头，详细可参见使用firebug查看实时的请求头；也可以使用webscarab代理找到头信息。

web安全测试之基本观察学习笔记——高亮显示JavaScript和注释查看源代码有助于发现隐藏的不安全信息以及检查攻击的效果，而对于源代码中开发人员的注释以及javascript的在线动态行为都是我们需要重点关注的，我们可以利用webscarab快速找出嵌入式注释和Javascript。运行webscarab，利用浏览器访问某网站，查看webscarab捕获的信息，可以从中发现代码中的注释

Web安全测试常用工具【说明】以下汇总整理来自《Web安全测试》第二章 安装免费工具。序号工具名称工具说明运行环境要求下载地址1Firefox浏览器Firefox浏览器具有可扩展的附加组件架构，是可用于web应用安全测试的最佳浏览器。Windows、linux均可

二、管理要求标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G） 基本要求第一级第二级第三级第四级安全管理制度管

信息系统安全等级保护基本要求——技术要求 一、技术要求:标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）  基本要求第一级第二级第三级

IBM Rational AppScan：跨站点脚本攻击深入解析级别： 中级Ory Segal, 安全研究主管, IBM2008 年 8 月 25 日【转载】http://www.ibm.com/developerworks/cn/rational/08/0325_segal/了解黑客如何启动跨站点脚本攻击（cross-site scripting，XSS），该攻击危害（及