• 来,让我们打造自己的Web安全测试工具!
  • 测试技术python
    • 小猪 互联网公司(金融相关)_测试开发工程师
    • + 关注
    投身互联网行业,工作中独立负责性能测试,安全测试,用Python、Java开发过自动化测试框架及基于业务场景的自动化脚本,接口测试,功能测试,App测试等均有涉猎。
    • 2020-06-22 23:16:01
    • 阅读 6359
    • 收藏 0
前言:
我们这篇文章是讨论安全测试的。
现在是什么时代,现在是信息时代,数字时代,网络时代。
如果把当前的时代类比成一款游戏,应该分成几种角色。我把它分成4种,理论者,建设者,使用者,破坏者。
理论者,就是提出OSI七层模型的这群人,像物理世界中的牛顿,三定律让汽车上路,轮船下海,火箭升天,他们是先贤,奠定了这个时代的基石。
建设者,OSI模型的底层实施者,物理设施的提供者,做网线的也算。
使用者,用计算机上网的,论坛发帖子的,博客写文章的,手机玩游戏的,开发网站,app的,应用层的参与者们。
破坏者,嗯,这个就开始接近我们的主题了。网络传谣的,网络诈骗的,就是将社会工程映射到网络时代的那些人,数据窃取的,非法入侵的,软件破解的(这个有待推敲,里面也有正义人士嘛),看到这里也许有人就会说,这不就是黑客吗,这是黑客被污名化了,我们来给广义的黑客分分类。
黑客咋分类,目前我看到的有这么四类,白帽黑客,灰帽黑客,黑帽黑客,脚本小子,前三个属于有技术的,后一个属于没技术的,就是捡个”菜刀”就上,”砍到”算赚到。
白帽黑客,就是我们这些测试人员了,当然这里面也有个晋升的等级,最初的时候,我们也是用些工具,但随着经验值的增加,也就是对漏洞的理解程度,会想到定制工具,扩展工具,甚至开发工具,提高其灵活性,增强掌控工具的力度,以此来满足我们的测试需求,这就是我们这篇文章要展开讲的了。
记住,定制,扩展,开发工具的目的是,提高灵活性,增强掌控工具的力度,加深对漏洞的理解程度,并不是说,我们为了建一栋大厦,先从烧砖开始,为了上网,先搓根网线,都是踩在巨人的肩膀上嘛。

通过本期51讲堂,您将获得以下内容:
1、核心主题:打造Web安全测试工具
2、安全测试工具设计及编码(分享源码)
3、使用我们自己设计的安全测试工具,全面详解owasp漏洞场景(以owasp的web漏洞程序为靶场)
4、讲解owasp漏洞,主要包含:
(1)HTTP拆分(缓存投毒)、利用访问控制规则
(2)绕过基于路径的访问控制
(3)基于角色的访问控制、远程管理访问
(4)基于DOM的跨站脚本攻击、DOM注入
(5)客户端过滤、同源策略保护
(6)XML注入、JSON注入
(7)静默事务攻击、不安全的客户端存储
(8)危险的eval函数
(9)密码强度、忘记密码功能
(10)多级登录、认证漏洞
(11)缓冲区溢出、敏感信息泄露、线程安全、并发缺陷
(12)XSS网络钓鱼漏洞、存储型xss、修复存储型xss漏洞(开发版)、反射型XSS漏洞、修复反射型XSS漏洞(开发版)
(13)跨站请求伪造(CSRF)、CSRF旁路攻击(二次确认)、CSRF令牌绕过
(14)测试HTTPOnly属性、跨站点追踪攻击(XST)
(15)字符型SQL注入漏洞、字符型SQL解决方案(开发版)、数字型SQL注入漏洞、数字型SQL解决方案(开发版)、命令注入漏洞
(16)日志欺骗、XPATH注入漏洞
(17)数值型SQL盲注、字符型SQL盲注
(18)拒绝服务漏洞(DOS)
(19)不安全的通信,配置,存储、恶意文件执行
(20)绕过html字段限制、利用隐藏字段
(21)绕过客户端脚本验证、伪造身份验证cookie
(22)会话劫持、会话固定、创建SOAP请求
(23)web服务注入等。
  • 2.99 预定
  • 更多

    已有80人预定

    • 预定达标06-30
    • 文章出炉07-10
    • 交流07-14 21:00
  • 当发生预定人数不足/文章未按时出炉/作者未分享交流时,您将获得全额退款。

    请务必添加【51Testing测试圈服务号】,获取入群二维码。

    • 1
    • 0
发送
登录 后发表评论
  • 推荐阅读
  • 换一换
  • 51testing软件测试圈微信