提供安全手工测试用例,包括身份鉴别、登录控制、越权测试、SQL注入、跨站点脚本编制、文件上传、跨站点请求伪造等web应用安全漏洞的手工测试方法
2022-06-01 18:00:35
181KB
NIST SP 800-115,这是2008年更新的版本,用于取代老版本NIST SP 800-42,目前尚有一些书籍仍推荐的800-42,略微显得过时
2022-05-27 22:49:28
465KB
1
今年刚刚整理的信息安全试题,全新整理,设计网络安全、信息安全等安全方面,里面包含有试题和答案,及时巩固基础,可以帮助你更好的顺利的通过考试。
2022-05-13 14:40:22
1.76MB
1
《JR-T 0213-2021 金融网络安全 Web应用服务安全测试通用规范》
《JR-T 0214-2021 金融网络安全 网络安全众测实施指南》
2022-05-09 19:00:11
875KB
sqlmap(sqlmapproject-sqlmap-1.6.4-4-gfb3f428.tar.gz)
2022-04-21 14:00:12
6.87MB
sqlmap(sqlmapproject-sqlmap-1.6.4-4-gfb3f428.zip)
2022-04-21 14:00:11
7.05MB
用途:该工具主要用于APP劫持检测。
使用方法:安装HijackActivity.apk,使用 activity 界面劫持工具,在工具中指定要劫持的应用进程名称。如图所示,从列表中选择被测试的应用,点击 OK。打开应用,测试工具会尝试用自己的窗口覆盖被测的应用,如果劫持成功,会出现如下界面。
威胁等级:若客户端无法抵抗 Activity 界面劫持攻击时为中风险;若可以抵抗攻击则无风险。
安全建议:Activity劫持通常依靠注册Receiver响应android.intent.action.BOOT_COMPLETED事件。客户端程序可以在启动前检查Receiver并报警;由于Activity界面劫持攻击通常是将自己的页面附着在客户端之上,因此需要进行界面切换操作,因此在界面切换到后台时弹出警告信息也可以达到一定的效果。除此之外,因为Android进程栈的工作原理,建议开发客户端时针对进程栈进行相应的保护,可禁止其他进程放置于客户端之上。
2022-04-20 13:00:06
152KB
1