标签归档:测试

随便写点跟测试有关的东西

1. androidmanifest.xml文件中,选项为false时也不一定代表组件是不可以利用的,比如socket场景。 (各种安全示例里写的全部是错误的。) 2. netstat -anb | grep listen 确认存在后,除了可以检测数据是否明文外,还可以往该地址的该端口发送超大数据确认是否存在溢出。 3. 高度封装后的url可以使用IDA的text search功能提取(ipk,ipa),指望内置http server前端返回locahost格式访问做url hidden甚至是安全防御,如果不对原地址做调用/访问控制和漏洞修复,你的策略就是失败的。

发表在 Android | 标签为 , , , , , | 留下评论

php中的浮点数安全问题

关于浮点数, php语言里使用float表达,其他语言一般也是,这个是通用的。 英文里有浮动的意思, 从英文解释里, 也许就能猜的出来浮点数的大概意思,这个时候我们首先就想到了,它也许是不确定的, 因为是(浮动)。 咱们回到php语言中, 在php语言中, float说的其实是多种数据类型的一种, 浮点型。 浮点型数据咱们简单点理解就是, 它是一个包含小数的数, 只能用来表示近似, 不能完全确定, 比如取3.1415926 ~ 精确到第几位, 工程计算中误差要达到什么等级, 这个时候要用到的就是浮点数。

发表在 php security | 标签为 , , , , | 留下评论

web安全防御原理

web安全防御原理 web应用程序的几大防御机制: 1. 处理用户访问应用程序数据和功能,防止用户获得未授权访问。 比如未登录状态下访问, 应该给出什么内容,允许访问哪些区域,没有登录和普通账户登录去访问后台管理页面应该给出什么信息提示,这个就叫处理用户访问应用程序数据和功能,要是非正常的访问我们应该禁止或者给出提醒。

发表在 安全控制 | 标签为 , , , , , | 留下评论

测试web应用程序的验证,会话管理,访问控制

在早期的时候,web应用程序还不能完全叫应用程序,因为那个时候的web页面都是htm页面,主要功能也只是给人家来看的,即使被攻破也只能对其进行修改或者传播一些不实消息。后来,随着网络技术的发展和人民对网络生活需求的日益提高, web程序从刚开始的给人看, 衍生出了许多贴近生活的功能,比如购物,博客,论坛。 web程序从刚开始的给人提供查看阅读变成了大众生活的一部分, 这个时候, 就要对其进行管理, 为什么要管理? 这个其实跟现实生活一个道理, 比如我买东西, 肯定得先进行确认,然后建立联系, 再进行交易, 要是不确认大家都随便买随便卖那就都乱套了,所以这个时候就得对其进行管理。 因为网络世界和现实世界终究还是有差别的, 必须把完整的指令给它它才知道做什么, 并且,一个平台上又不是只有你一个人, 如果程序要对各种用户提出的请求进行确认是否允许或者拒绝, 前提就得先进行确认,这些请求来源于谁。 web程序发展至今, 流行的验证方式就是通过账户密码from表单确认, 然后服务器颁发一个令牌, 以后客户端再提出什么请求都会带上这个令牌再次进行提交, 以此来进行身份确认。 一些保密性要求比较高的, 还会通过active控件进行加强验证。除此之外,提供验证身份确认的方式还有: 1.http基础认证方式 2. 验证服务 3. 本机导入证书验证 4. 物理令牌验证 针对验证的安全机制, 开发者大多使用这种互联的方式处理用户的访问: 身份验证 会话管理 访问控制

发表在 安全控制 | 标签为 , , , , , | 留下评论