2回答
穿透测试Java应用程序
、、、
第一件事,这是我从未做过的事。
我有一个用Java (JSP和Servlet)编写的web应用程序,并使用MySQL作为数据库。应用程序部署在Amazon EC2中,这是一个由我自己配置的Ubuntu实例。
现在,我有一个非常关键的“必须”执行要求来查看这个应用程序的安全漏洞。我被要求对此进行渗透测试。
我有以下问题。
在执行此测试时,是否必须在我的实时应用程序或运行在本地计算机(localhost)中的应用程序中执行?
我发现了一堆只接受URL并进行测试的在线工具。这些工具是推荐的和专业的?
用于Java应用程序渗透测试的推荐工具是什么?它们是“软件”还是某种"API“,我必须花很多
浏览 0提问于2015-10-09得票数 5
回答已采纳
什么是最好的工具,CMS网站扫描,我想做完整的扫描防火墙,Sql注入,代码注入,监控我的网站的所有时间,修复错误,等等。
是给Joomla 1.5的。
浏览 0提问于2011-09-22得票数 1
1回答
请黑了我的服务器?
、、、
我不太确定这里是这样的问题,但堆叠溢出或超级用户似乎更不合适,所以。
我想问一下,是否有类似于stackexchange网站的网站或服务,在那里,狂热的黑客可以在业余时间免费提供一些服务。我特别需要的是有人试图黑我的服务器,我会给他们地址和他们需要的一切,即公共信息。我想确保我的服务器是正确的安全,因为我是自学的,我真的不知道我是否做得很好。
浏览 0提问于2016-08-04得票数 -2
回答已采纳
1回答
常见网络攻击
、、、
可能重复:
如何在用户攻击中测试已经内置的网站?我已经在.NET中开发了一个过程管理系统,现在在将它放到生产环境之前,我想通过一系列的攻击来测试它。
如果有人能分享一些常见的在web应用程序上应用的攻击,我很感激。我知道一些常见的攻击,如未经授权的访问、URL嵌入攻击、sql注入等等。
请分享您的经验和建议,谢谢。
浏览 3提问于2012-12-21得票数 2
3回答
我正在尝试确定第三方网站是如何发出HTTP POST请求的。基本网址如下所示的http://www.example.com/search。我想使用objective-c将来自iPhone应用程序的HTTP POST请求的主体放在一起。有没有可以在FireFox、Chrome或Safari中安装的扩展,这样当我在他们的搜索框中输入内容并按enter后,我就可以监控从我的浏览器发送到他们的服务器的HTTP POST请求的详细信息?
谢谢
浏览 4提问于2011-12-25得票数 1
是否有任何软件或硬件可以在没有付费订阅的情况下执行渗透测试?例如,免费使用,如Kali-linux等。我想学习如何执行渗透测试。如果有任何网站或指南,您的建议,我将不胜感激。
我想在无线路由器和服务器(如Windows、Mac和Linux设备)上进行渗透测试。
有没有可能从安卓,iOS,Linux,黑莓设备上下载?
谢谢。
浏览 0提问于2016-02-28得票数 1
2回答
SAML SSO的安全性验证
、、、、
我在云中运行一个日志聚合产品的实例,安装在VM上。我已经严格地配置了它的网络设置,内部防火墙,内部端口重定向,强大的管理密码,有效的HTTPS证书等。
由于该产品支持SAML SSO,我还将其配置为使用Azure AD作为组织的身份提供者,因此我将不必处理管理附加密码、2FA和避免其他安全漏洞的问题。
我能验证公开的web界面是否受到尽可能的保护,最好的方法是什么?理想情况下,我想抓住尽可能多的问题和错误配置,以尽量减少我被黑客攻击的风险。
浏览 0提问于2020-10-13得票数 1
6回答
测试黑客的企图
、、、
我想确保我的网站被保护免受黑客攻击,我认为最好的测试方式是尝试和黑我自己的网站。黑客会做什么样的事情来攻击我的网站呢?
例如,
Test -他们可以将javascript放在输入字段中,例如
<“open javascript tag">window.location = “www.somewhereelse.com”;<“end javascript tag”>
保护-在显示数据之前使用php实体函数。
为了确保我的网站是安全的,我还能用什么东西来测试呢?
浏览 3提问于2011-06-06得票数 5
回答已采纳
3回答
可能重复: 渗透测试和脆弱性评估之间有什么区别?
当人们谈论webapp安全测试时,他们通常是指漏洞扫描还是渗透测试?还是两者兼备?
我的理解是笔试应该包括漏洞扫描和额外的步骤开发,这是一个完整的webapp安全测试。
漏洞扫描通常由扫描仪完成,并且不包括攻击步骤。漏洞扫描完成后,我们可以进一步进行渗透测试,可以使用不同的笔试工具,也可以通过手工处理。
请评论一下。谢谢!!
浏览 0提问于2012-06-28得票数 1
2回答
我对一份涉及安全的工作很感兴趣,我很好奇作为一名笔测试员,从客户接近你到你完成测试的整个过程。
例如,测试应用程序需要采取哪些步骤?
浏览 0提问于2010-08-26得票数 0
1回答
我在AWS上的WS2012R2上运行了一个生产IIS。在查看C:\Windows\System32\LogFiles\HTTPERR时,我注意到日志中有一些不寻常的请求。您可以查看他们试图请求这里的一些内容。他们甚至检查我是否在运行thinkphp。现在,我的问题是:
除了编写自定义解决方案之外,防止此类请求的最佳方法是什么?我注意到他们每天都会改变他们的ip,但是那天的请求来自同一个ip。
我想我可以跟踪所有向我的服务器提出的请求,并阻止那些我不喜欢的行为,但希望有一些更简单的东西。
我确实看到了一些第三方解决方案,这些解决方案似乎能满足我的需要,但它并不适合我。
浏览 0提问于2019-06-18得票数 0
回答已采纳
我正在使用VS2010专业版在ASP.NET 4.0中构建一个网络应用程序。
我已经针对Sql注入和用户输入对应用程序进行了测试。
我还需要做什么其他的测试吗?我应该使用哪些工具来抵御外部攻击?
浏览 2提问于2012-02-03得票数 3
回答已采纳
4回答
详细信息:
客户希望详细了解渗透测试造成的成本,以及渗透带来的好处。
此外,它有效地意味着通过安全节省成本。
最后一点,我不能完全收窄,因此,我在这方面的问题:
我是否可以将安全问题的成本与发生并需要修复的错误相抵消?
这里有计算吗?
浏览 0提问于2021-11-02得票数 0
我想在未来学习网络安全,但在做这件事之前,我相信我必须学习以下教育项目之一:
网络管理员
应用程序开发人员
IT管理员
这些程序中的哪一个是渗透测试器的基础?
浏览 0提问于2017-11-21得票数 -1
4回答
我被要求对我们的系统做一些基本的渗透测试。我试图找到一些受欢迎的做法,但我没有成功。我想SYN攻击已经退役了(这里没有NT )。有人能建议一些基本步骤来测试什么,以便进行至少非常基本的渗透测试吗?谢谢
浏览 0提问于2010-04-29得票数 6
让我说我雇了一个“道德黑客和渗透测试”的人。他将试图破坏我的系统/网站的安全。
让我们说,那么被雇佣的人在入侵系统中是不成功的。
显然,我不是安全专家,所以我如何判断:
我的系统很安全!“安全专家”不能入侵它!
“安全专家”不足以入侵它..。
浏览 0提问于2016-12-17得票数 1
可能重复: 从IT安全从业者的角度看Mac?
我是OSX世界的新手(以前是Windows背景),我有兴趣了解OSX在本地或虚拟主机上有什么是可能的,什么是不可能的。
OSX或Mac硬件在安全世界中是常见的吗?
对于我来说,从运行不同操作系统的专用VM运行pen测试会更容易吗?
我购买了Wifi菠萝,并注意到没有说明OSX,我很好奇,如果这是一个相关的硬件或软件平台启动笔试。
浏览 0提问于2012-09-22得票数 0
回答已采纳
2回答
渗透测试用工具
、、
我想对我的项目执行渗透测试,以使它更安全。并修复系统中的漏洞和弱点。
漏洞允许攻击者攻击或控制我们的系统,因此我希望使我的项目更安全。
我在谷歌上搜索了一份工具列表,但我想知道大多数人使用的工具是什么,哪些是最著名的渗透测试工具。
浏览 0提问于2016-12-22得票数 2
回答已采纳
2回答
什么是网站安全验证?
、、、
我有一个电子商务网站,最近我看到了一个关于网络犯罪的网页,这让我想知道网站的安全验证意味着什么。
有没有人知道网站的安全验证意味着什么?
如何验证我的网站,以防止此类欺诈案件?
浏览 0提问于2011-04-14得票数 5
回答已采纳
多年来,我已经有一些我开发的网站提交给客户进行渗透测试。大多数时候,当结果返回时,突出显示的问题与ASP .Net的默认行为有关,例如可能的跨站点脚本攻击等。
有没有什么好的文章是关于.Net应用程序中默认存在的漏洞的?其次,有没有什么好的检查表可以帮助你提前准备一个网站?
浏览 3提问于2010-11-08得票数 8
回答已采纳
很长一段时间以来,我一直对获得认证感到困惑!为了成为一名安全分析师/测试员,为了一个好的开局,这两种方法中哪一种是好的?
GSEC还是GHIC?
我看了一下这两份证书的目标。
具有基本工具集/实际问题的端到端概念的GSEC对象(IMHO)
GHIC以实际问题/实际解决方案为目标。(至少我是这么想的)。
我对安全概念有一些基本的(理论)理解。
编辑: omg!我只是看了一下他们的培训计划,它花费了4000美元!真的吗?另外,我看了亚马逊的几本gsec书籍,它们已经过时了。那么,是否有一种方法可以在sans之外获得一套合适的课程,并期望它涵盖教学大纲呢?
浏览 0提问于2011-10-03得票数 2
回答已采纳
1回答
渗透测试与安全源代码审查
、、、
最近,我遇到了这样一种情况:一家机构雇用了第三方供应商来开发其业务应用程序。我提出了以下与渗透测试和独立的第三方安全源代码审查有关的问题:
独立的第三方安全源代码审查与渗透测试有何不同?
独立的第三方安全源代码审查和渗透测试的限制是什么,它们是否相互覆盖,它们是有限的where?
哪些独立的第三方安全源代码审查涵盖了渗透测试没有的,反之亦然?
浏览 0提问于2018-03-30得票数 1
回答已采纳
3回答
我被要求创建一个标准操作程序(SOP),描述情报收集、目标剖析、漏洞识别、目标开发和事后开发的各个阶段。
我知道什么是标准操作程序,但却不知道如何创建一个程序。
你能帮我为这些阶段创建一个吗?
注意:我不是要求你为我做这件事,而是想要一个你可能知道或遇到过的教程或指南,我可以用它来为这些phases...thank你自己做。
浏览 0提问于2016-11-12得票数 4
1回答
对网站的随机请求
、、、
定期,我收到随机的网页请求到我的网站。例如,其中一些请求包括:
'/Pages/49r72acy.aspx‘'/60islation.aspx’/category28_1ls.aspx‘
还有很多像上面这样的请求,显然它会生成一个没有找到错误的页面,因为我没有这样的页面。只是好奇为什么会这样。非常感谢。
浏览 3提问于2012-05-17得票数 2
回答已采纳
12回答
渗透测试工具
、、
我们有成百上千的网站是用asp,.net和java开发的,我们花了很多钱让外部机构为我们的网站做渗透测试,以检查安全漏洞。有没有什么(好的)软件(付费或免费)可以做到这一点?
或者..。有没有技术文章可以帮助我开发这个工具?
浏览 24提问于2008-09-16得票数 45
回答已采纳
3回答
我正在寻找一个工具扫描一个给定的URL的安全漏洞。我在谷歌上搜索了一下,找到了一些,但大多数都需要一些公开的东西,而我的DEV环境并不公开,或者他们有一些比我现在更需要的昂贵的解决方案。我不需要任何超级强大的,因为我只是做轻量级测试目前,和QA的人将运行他们更复杂的电池测试以后。
编辑:澄清用例
我给这个工具一个网址来扫描,即:
它在该页面上运行一系列测试,以查看是否存在可能暴露的安全漏洞。示例包括但不限于SQL注入、跨端脚本等。
浏览 15提问于2009-09-23得票数 2
回答已采纳
1回答
我看到很多类似的问题,但我的问题不一样。我做了很多挑战,比如Kioptrix和done。但我不确定这是不是现实生活中的笔试。我的意思是,这是如此简单,只有nmap和metasploit (和一些网页应用程序黑客)。那么,是否有更接近现实生活渗透测试的东西呢?
浏览 0提问于2014-05-23得票数 3
1回答
我正在用Ionic开发一个移动应用程序。我有一个共享按钮,用户可以共享一个网站链接。我想有一个功能,用户可以预览网站,因为我们可以在Facebook上看到。
我尝试了大多数的链接,但没有一个干净的工作。
在后端,我有一个播放服务器,在前端我使用的是Ionic和AngularJS。
有人能给我推荐一些我可以使用的好API吗?
浏览 3提问于2016-08-31得票数 0
4回答
我正在寻找一个在线培训实验室,为五人/黑客和安全。
我在黑客实验室上找到了一个,但是使用起来似乎很麻烦,而且在VPN服务器身份验证方面也存在一些问题。
有人知道类似的事吗?
或者像鱼腥草RTB1和RTB2之类的东西?
我希望有更多的资源来学习。
提前结束。
浏览 0提问于2014-03-30得票数 1
回答已采纳
3回答
我即将推出一个新的网站,并希望使用一个很好的字体(用于标题等)。我试验过像cufon这样的脚本,发现它们非常令人失望。在我看来,我有两个法律选择:
使用获得@字体许可的字体创建我自己的字体堆栈(如)
订阅typekit
使用标准字体栈,包括一些MS Office更好的字体(不喜欢!)
我正在寻找有经验的人的意见,而不是投机请(我可以自己做!)
有人用过typekit吗?你注意到什么性能问题了吗?
浏览 4提问于2010-03-23得票数 6
1回答
可能重复: 学习网络安全攻击的最佳资源?
我对web应用程序渗透测试非常感兴趣。我翻阅了Youtube上关于这个主题的每一段好视频和大部分的书。我现在正在读缠结网。由于这些资源,我在我的国家的网站上报告了许多漏洞,并有机会扩大我的知识和遇到一些酷的人。如果您知道任何有价值的资源,免费视频或免费课程,请在这里张贴链接。非常感谢。
浏览 0提问于2012-07-31得票数 2
回答已采纳
7回答
软件测试与(Web)渗透测试
、、、、
我想问一下软件测试和Web应用程序渗透测试之间的区别。
我知道在软件测试(JIRA/Selenium)和Web应用程序实现(BurpSuite、SQLMap等)中使用不同的工具。
另外,我想知道这两个学科是否交叉,软件测试人员是否可以成为一个好的Web应用程序戊酯,反之亦然?
非常感谢。
浏览 0提问于2015-03-29得票数 5
回答已采纳
5回答
我不知道渗透测试和其他形式的安全测试之间的区别。有经验的人能告诉我有什么不同吗?我真的很感激。顺便说一句,有没有模拟DoS的测试?我不知道如何防御它。
浏览 0提问于2010-06-25得票数 12
2回答
我即将推出一个网站(红宝石rails)与技术知识共享。它应在AWS上托管。我正在特别寻找一个清单,为“最佳安全做法”。我想做几件事如下。
安全标头http重定向
想要更多。
浏览 2提问于2022-05-06得票数 0
我可以注射这个:
http://domain.com/search/songs/<img src='alert(document.cookie)' onerror='alert(document.cookie)'>
到HTML页面。
onerror事件给了我最新更新的Firefox上的cookie。
但Chrome正在对HTML进行消毒,使其达到以下目的:
<img src="alert(document.cookie)" onerror="">
当我试图注入脚本标记时,应用程序会以某种方式对它进行消毒。
浏览 0提问于2014-07-12得票数 0
回答已采纳
我在Mini上安装了Kali,但是WiFi卡和声音都有问题。
~# lspci
00:03.0 Audio device: Intel Corporation Haswell-ULT HD Audio Controller (rev 09))
00:1b.0 Audio device: Intel Corporation 8 Series HD Audio Controller (rev 04)
02:00.0 Network controller: Broadcom Corporation BCM4360 802.11ac Wireless Network Adapter (rev 03)
浏览 0提问于2016-03-06得票数 0
4回答
黑客训练模拟器
、、
我从来没有尝试过入侵网站。我只是遵循了安全指南。现在,我想尝试开发更多的安全性。
有没有“训练站点”有洞和“练习”,有SQL注入,重新定义全局变量,XSS和其他类型的洞。有点像黑客沙箱。
浏览 4提问于2011-04-08得票数 6
回答已采纳
我想学习Pen测试,并且已经了解Java,并且一直在学习Python,并且对Python语法相当满意。我对Linux和TCP/IP也有一些了解。我的问题是:
我如何学会用Python编写用于钢笔测试的工具,因为我不知道从哪里开始,目前我只使用它来解决Top的实际问题。我可以在Java中学到什么,我可以应用到钢笔测试中?作为一个有抱负的钢笔测试员,我能用什么资源来帮助我?
我不想成为一个使用别人的工具却什么也不懂的人。我想获得一个坚实的基础在钢笔测试,特别是编程方面。
浏览 0提问于2013-12-28得票数 2
1回答
在我看来,这里的关键是使用虚拟化。这是一种主要的预防措施,允许安全地处理(隔离)系统,否则这些系统可能会被利用,并作为跳转点进入组织基础结构。
浏览 0提问于2020-05-11得票数 1
假设您正在开发一个需要通过第三方安全/渗透测试才能发布到客户端的软件,那么在项目生命周期的哪一点,您会执行测试吗?
通过测试意味着没有检测到任何重大缺陷,或者更有可能的是,任何检测到的缺陷在发布之前都得到了正确的纠正。
浏览 0提问于2011-02-08得票数 2
回答已采纳
我需要一个在线网站监控服务(如https://www.uptrends.de,而不是自我托管)的三军 (3d画布)的javascript重型网站的推荐。监测应该通知我(通过电子邮件),如果网站(一个给定的网址)是关闭,或它需要太长时间才能完全加载。因为大多数网站都是动态的,并且依赖于3d画布,所以网站“没有被完全加载”的标准是网站的javascript部分成功运行。为此,javascript向网站的body标记添加了一个特殊的类(“app就绪”)。这个网站只有在body标签有一个类“app就绪”之后才会被“完全加载”。由于网站依赖于3d画布,监控服务无法在无头模式下运行,因此需要一个真正的浏览
浏览 0提问于2018-10-16得票数 3
1回答
我想知道一个渗透测试公司在为客户执行测试时所面临的风险。例如:一家名为"A“的渗透测试公司为名为"B”的客户提供服务。那么,如果A公司为客户"B“做这个测试,他们会面临什么样的威胁呢?
例如,如果客户"B“在系统中存在严重的漏洞,对公司"A"'s自己的数据的威胁。
浏览 0提问于2015-06-01得票数 4
1回答
服务器应用程序在Heroku上运行得很好,但在迁移到Azure之后,服务器不会启动。
这是代码..
const PORT = process.env.PORT || 2498;
const INDEX = '/index.html';
const server = express()
.use((req, res) => res.sendFile(INDEX, { root: __dirname }))
.listen(PORT, () => console.log(`We\'re live on channel : ${PORT}`));
co
浏览 6提问于2021-06-24得票数 0
1回答
我想为iOS应用程序做一些安全测试。应用程序中有一些HTML5页面,所以我想做一些安全测试,比如网络请求,或者其他。我知道在Windows上有很多工具,但是在Mac上有一些工具吗?我也想知道直接扫描应用程序的工具,有吗?
浏览 5提问于2014-09-19得票数 0
我试图为我的服务器(不是web服务器)做一些安全测试,它位于nginx代理后面。首先,我用Sulley做了一些模糊测试。正如预期的那样,大多数模糊请求都由nginx处理。我也尝试过使用BED工具,但是由于我的服务器希望获得特定URI上的请求(http://host/(uri)),所以我无法最好地利用它。(这有可能吗?)
我的问题--还有更多的范围来做模糊测试(我可能错过了)?如果是,那么可以使用哪些工具?
我也在寻找一个工具来做渗透测试。提前感谢您的投入。
浏览 0提问于2015-02-13得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
