存档

文章标签 ‘安全测试’

模糊测试简介

2011年2月28日 吴颖敏 没有评论

如何询问一位有成就的安全领域的研究者如何发现漏洞,很可能会有一大堆的答案,为什么?因为安全测试的方法太多,每种方法都有其优缺点。在全局来看有三种主要的方法来发现安全漏洞:白盒测试,黑盒测试和灰盒测试。 这些方法在普通测试中也非常的常见,那什么是模糊测试呢?模糊测试是一种通过提供非预期的输入并监视异常结果来发现bug的方法,一般的模糊测试都是一个 自动或半自动的过程。
................Read More

安全测试(续)

2010年9月20日 吴颖敏 1 条评论

昨晚英超的双红大战甚是精彩,带走了不少劳累。 之前曾简单的介绍了安全测试相关的一些内容,在代码端,我们一般需要做的不多,现在国内比较流行的是Fortify SCA来进行代码安全审核。 代码端我们可能遇到的问题主要在于堆栈溢出威胁,IO处理权限,Cache处理权限等问题上面。可以在编程的同时结合一些插件尽可能的避免此类的问题。 另外做安全测试最重要的是先做渗透攻击,只有在攻击中才能找
................Read More

安全测试

2010年9月13日 吴颖敏 3 条评论

上周工作之余和朋友一起做了下安全测试,涉及的东西这里做下总结备忘录:) 我们先从网络应用的整体架构来分析。 首先是互联网服务的攻击,我们主要注意的是DNS及CDN这两个服务。 DNS解析服务提供商为了提高网站的寻址能力,一般在本地会进行DNS缓存,而对于DNS缓存的窃取和劫持将会使您的网站指向错误的A地址,这样造成的损失也是比较大的。09年国内著名的搜索引擎提供商遇到过类似的问题,这
................Read More