原创 跨語言調試RSA加密經驗
最近前端與後端使用了RSA加密對請求Body進行了加密。前端使用JS、後端使用PHP。通過閱讀js和php代碼,大致瞭解他們使用加密過程。但我們jmeter壓力和自動化時需要使用java代碼實現。參考前端和後端的代碼,很快寫了一個RSA
2020-06-18 21:32:58
2
原创 Jmeter性能測試JSONObject not found in namespace
背景:性能測試時,我們需要對上個請求返回的json數據提取裏的一個子json做加工處理。子json可能是一個簡單的json,也可能是一個json對象數組。根據不同的業務請求json數據。用jmeter自帶的正則提取不是很好動態處理。 1、
2020-02-23 22:51:52
原创 XXE修復方案參考
XXE不同的庫修復代碼,略有差別,但都是通過: 1、禁止加載外部實體; 2、不允許XML中含有任何自己聲明的DTD。可以解決 例1: //DOM Read XML DocumentBuilderF
2019-07-06 05:43:33
8
原创 論驗證簽名重要性--公司安全分享
用鮮活的事例論證,以不同的角度開拓我們的視野。 簽名的作用證明唯一性,我們windows程序如dll和exe都使用了簽名。以下驗證不對簽名做驗證會有什麼後果。 注:SHA1算法已被證實不安全。 1、通過技術手段在我們exe可執行程序,添加
2019-07-06 05:43:33
原创 性能測試工具jmeter基本使用
很多年前性能、壓力測試都是用loadrunner。最近一些年都是用Jmeter。工具各有優劣,但我更喜歡Jmeter,輕量級,Java編寫,容易做業務擴展。 腳本喜歡先用BadBoy簡單錄製,導出Jmeter腳本後,再在Jmeter打開作
2019-07-06 05:43:33
原创 網絡安全評估
網絡安全評估學習總結。 1、識別漏洞 主機需要加固 軟件漏洞 0day web漏洞 資源耗盡 內存漏洞 加密漏洞 使用不安全的加密算法,或配置不合理、管理漏洞 網絡架構漏洞 網絡設計可能會暴露弱點 帳戶漏洞 密碼強度不達標 缺少多因素認證
2019-07-06 05:43:33
原创 等保2.0 三級檢查明細
序號 大項 測評指標 測評對象 測評實施 判定標準 安全通信網絡 網絡架構 應保證網絡設備的業務處理能力滿足業務高峯期需要 路由器、交換機、無線接人設備和防火牆等提供網絡通信功能的設備或相關組件。 1) 應覈查業務高峯時期一段時間內主要網
2019-06-11 11:53:06
原创 WEB常見漏洞及修復參考
漏洞類型 造成原因 修復方案 重定向攻擊 跳轉的URL由前端輸入,存在跳轉URL被篡改、構造危害URL地址,導致用戶受到攻擊 方案1、後臺設置跳轉白名單 方案2、前端提交跳轉標識字符,後端返回約定後的URL重定向地址 服務器端請求僞
2019-05-08 14:45:31
1
原创 APP checklist 2017
Penetration testing checklist based on OWASP Top 10 Mobile 2016 M1. Improper Platform Usage Test Name Result M1-0
2018-11-30 23:59:48
29
原创 heartBleed漏洞檢查python腳本
日前用burpsuite 檢查一網站,使用heartBleed插件沒有檢查出來,但是openvas檢查說有。在網上找python驗證下,果然有。so,腳本記錄下。 #!/usr/bin/python # Quick and dirty
2018-09-03 16:44:16
原创 監控redis鍵值
測試過程中我們有一部分常量值放入redis,共大部分應用調用。但在測試過程中經常有人會清空redis,迴歸測試。so,爲了穩定不去重啓應用。編寫個小腳本,監控redis的鍵值,被人刪除了,會自動插入。 #!/usr/bin/env pyt
2018-09-03 08:21:16
原创 解決內網.svn信息泄露問題
內網安全檢查每次報一堆.svn信息泄露,爲了解決這個問題,編寫了一小shell腳本放到自動發佈腳本里。下載靜態文件到部署目錄後自動刪除.svn目錄。已經過實際測試。 #!/bin/sh SVNurl=http://xxxxxxxxxx e
2018-09-03 08:21:16
原创 WingIDE6破解
最近想寫個python自動化接口測試框架。用到了WingIDE,之前一直使用的是5版本。之前一直用python2.7. 爲了使用Django2.0版本,必需使用python3版本。爲此在電腦重新搭建環境。 注:此破解只針對python3
2018-09-03 08:21:15
原创 2018黑帽大會工具清單-Blackhat
1、Android,iOS和移動黑客 易受攻擊的iOS應用程序:Swift版https://github.com/prateek147/DVIA-v2 2、代碼評估 OWASP依賴性檢查https://github.com/jerem
2018-09-03 08:21:15
原创 勒索軟件安全意識小測驗
如果答對8道以上,說明您已經初步具備防範勒索軟件的能力,如果10道全部答對,那麼你已經比肩安全專業人士了。(判斷)殺毒軟件能有效防範勒索軟件。( )(判斷)中了勒索病毒後,用殺毒軟件查殺後就能清除病毒並解密文件。( )(判斷)發件人郵箱確
2018-09-03 08:21:15