1.安装
使用的是XSS Shell 0.38版『XSSShell038.zip』,最初用『xssshell-xsstunnell.zip』里面的『XSSShell - v0.6.2』,后台只能看到Commands,看不到Victims和Logs,没弄明白为什么。关于环境,在本机IIS上,不能用,所以传到博客上。
...
- 添加新评论
- 阅读次数:
Table中XSS
# discover by Monyer
漏洞成因:我们知道对于backgroud样式属性是需要嵌套url才能引用XSS代码的,如果直接把代码写进backgroud是不能运行的,因为缺少了一个触发机制。而table标签中的background并不完全是样式的属性,这里它仅仅是table及相关元素的属性而已。
示例:<table><tr><td background="javascript:alert(/xss/)"></tr></table>
- 添加新评论
- 阅读次数:
第一章:B/S架构体系安全渗透测试基础
1. HTTP协议基本概念
(1)介绍HTTP标示URL
(2)HTTP响应状态码
(3)HTTP协议传输内容
2. WEB应用认证基本概念
(1)HTTP常见认证机制
(2)BASE64编码介绍
3. B/S架构常见安全问题
(1)拒绝服务攻击基础
(2)Smurf攻击模型
(3)Fraggle攻击模型
...
- 添加新评论
- 阅读次数:
转自:http://bbs.51testing.com/thread-124591-1-1.html
xss测试的一般步骤,总结了一下,尽量让xss测试的步骤简单高效一些。
测试xss一直很麻烦,一直想找个方法优化一下,经过几天的探索。终于找到了一个省时省力的方法。
首先介绍一下需要的工具。
xssshell是一个xss攻击平台。它首先需要搭建一个asp web服务器,将自身搭建起来,跟踪请求,
...
- 添加新评论
- 阅读次数:
安全测试中,中间者攻击是一个很常用的手段。采用TamperIE 可以模拟这个过程,主要是工作原理是截获HTTP Post/get数据,然后篡改Post/get数据,提交各类异常信息。就最近几天工作中使用Tramper做的一些实际测试例子介绍下。1.XSS(cross-site scripting)曾经,测试出登录的地方有XSS的问题,主要是通过httpwartch看数据,然后手工拼地址,再往拼的地
- 添加新评论
- 阅读次数:
1.QTP9.2的安装和破解
参考51testing的这个帖子http://bbs.51testing.com/thread-108263-1-1.html
2.对充值前后数据的校验问题,原来考虑是取页面上的数据做校验,但要做很多转换和对比,还没具体的方法。但可以考虑数据库上做检查点,参考下面的一些方法:
...
- 添加新评论
- 阅读次数:
1.安装svn:
sudo apt-get install subversion
2.创建配置库:
sudo mkdir /home/svn
sudo svnadmin create /home/svn/myproject
3.配置
(1)/home/svn/myproject/conf/svnserve.conf
password-db = passwd
authz-db = authz
(2)/home/svn/myproject/conf/passwd
[users]
bzcyer = 111111
(3)/home/svn/myproject/conf/authz
[groups]
admin = bzcy
[myproject:/]
@admin = rw
4. 启动svn服务
sudo svnserve -r -d /home/svn
- 添加新评论
- 阅读次数:
SilkTest的基础概念1. SilkTest架构SilkTest使用代理和被测应用交互。代理将4Test代码转换为GUI命令。SilkTest包括两个不同的软件构成部分:1) SilkTest Host2) SilkTest AgentSilkTest Host: 自动化脚本的开发工具,可以对自动化测试计划进行管理,并且能将
- 添加新评论
- 阅读次数:
某次安全性测试过程中查出的XSS有13种:
1、>"'><img src="javascript:alert('XSS')">
2、>"'><img src=javascript:alert('XSS')>
...
- 添加新评论
- 阅读次数:
『作者:RickyZhu 转载务必注明出处和作者』
软件产品的生命周期,我们经常说到Alpha测试,Beta测试(其实还有Gamma, Delta测试),软件发布的时候经常看到RC, RTM,这些究竟是如何界定的,发布阶段到底怎么划分的,我们今天就看看wiki的解释。
A software release is the distribution, whether public or private, of an initial or new and upgraded version of a computer software product. Each time a software program or system is changed, the software engineers and company doing the work decide on how to distribute the program or system, or changes to that program or system. Software patches are one method of distributing the changes, as are downloads and compact discs.
...
- 添加新评论
- 阅读次数:
