问题标签 [penetration-testing]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

373 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
466 浏览

android - Html.fromHtml 以这种方式显示文本是否安全?渗透测试和使用任何脚本调用内容

我有项目textview,这个对象有一些粗体和常规文本。我在堆栈上发现制作类似的东西很好用Html.fromHtml()。但是,如果有人拿到了我的应用程序并尝试调用显示在 中的内容Html.fromHtml,那可能会非常危险..

我写信给你一个问题:使用安全Html.fromHtml()吗?我应该用什么代替?我的项目只有一个文本视图,我不能再添加任何对象。我有布局,我必须只使用这一种布局。

0 投票
2 回答
334 浏览

security - 网络渗透测试建议 - 工具和外部承包商建议

我不确定这是否对 SO 来说是一个合适的问题,但我还是会继续,因为我不确定。

我一直在为我当前的项目寻找渗透测试工具,并找到了其中的一些工具,但最终还是要认真对待这一点,并寻找专门从事此类工作的专业组织或个人。

寻找工具的原因只是为了让我能够在启动完整的渗透测试周期之前摘下低垂的果实。这也有望使该过程更便宜,因为我希望已经解决了所有明显的漏洞。

工具和资源

组织与个人

我想知道是否有任何资源可以对执行这些任务的组织进行评级和审查?有没有你可以推荐的组织,你以前使用过并取得了很好的效果?

0 投票
3 回答
190 浏览

security - Most Efficient Language to Write a Password Generator In

If I wanted to write a program that generated all possible passwords using alphanumeric characters and wrote the output to a file, what language would would be best suited for writing something like that, for the purpose of penetration testing?

Edit: I already know C, C++, Java, javascript, python, ruby, HTML, CSS, and objective-c. I just have trouble identifying what language is better for solving which problems.

0 投票
1 回答
1398 浏览

security - drools 电子表格 - 电子表格规则的输入验证

我目前正在研究设计一个使用 drools 决策表电子表格格式的业务解决方案(链接到 jboss drools 文档)。业务用户将拥有并维护电子表格中的规则。

使用决策表格式的一个主要好处是将来可以轻松修改规则以适应不同的规则结构。

Drools 将基于电子表格的规则数据编译为原生规则格式。可以在此处查看编译器的示例实现。

我的安全团队担心的一个问题是,规则电子表格数据是用户输入,所有用户输入都应该经过正确性验证,以确保它不包含恶意数据(有关输入验证的基本原理,请参见此处)。

问题:

  1. 是否存在业务用户可以将恶意数据添加到规则电子表格的安全风险?
  2. 风险有多大/严重?例如,编译器是否充分验证了用户输入的数据?
  3. 如何降低风险?例如,另一方在将规则部署到生产环境之前直观地验证电子表格中的规则。
0 投票
1 回答
9336 浏览

python - 我需要掌握python的哪一部分才能进行渗透测试和安全性

我想进入网络安全和渗透测试领域。

有人告诉我,我需要知道至少一种编程语言,这样我才能在需要时编写自己的工具。

我从 python 开始。但是由于python非常大,我想知道我需要掌握哪些python领域。任何可以帮助我的模块、插件。

0 投票
3 回答
716 浏览

python - 查找网站下的所有链接

如何找到网站下的所有目录和链接?请注意,没有从主页到所有其他页面的链接。例如,如果我有一个像 users.company.com 这样的域,每个用户都会有一个类似 users.company.com/john、users.company.com/peter 等的链接。但我不知道有多少用户什么是所有链接,我想强力检查所有链接。如果我想编写一个 python 脚本来完成这项工作,我可以从哪里获得在 python 中开发它的信息?

0 投票
1 回答
876 浏览

android - 如何在 android 模拟器 3.1 的 cacerts 文件夹中添加证书

我正在尝试在 android 模拟器 3.1 中拦截本机应用程序的 HTTPS 流量。但是,文件系统中不存在 cacerts.bks 文件。所有证书都存储在 /system/etc/security/cacerts/ 下。在添加证书和使用代理拦截请求方面的任何帮助将不胜感激。

干杯。

0 投票
1 回答
67 浏览

security - 解决 1.通过 Web 服务器进程的内存泄漏和 2.潜在的缓冲区溢出的方法应该是什么?

我正在开发一个客户端服务器应用程序,其中客户端是用 java 编写的,服务器是用 c++ 编写的。

我的一位客户使用 Think Secure Tool 进行了渗透测试(不确定他们使用了哪些工具)并得到了漏洞(更恰当地说是弱点) 1.通过 Web 服务器进程的内存泄漏和 2.潜在的缓冲区溢出。

他们将此结果发送到我们的应用程序用来显示所有相关事件的特定端口。

我对这个问题一无所知,也不知道要解决这个问题。请向我建议可以在这个问题上帮助我的方法或任何参考材料......提前致谢

0 投票
1 回答
392 浏览

penetration-testing - 我在找中间人软件

我有 TamperData 作为 Firefox 扩展。有没有更好的软件好用的拦截请求调用和修改..

Webscrab 和 Paros 只工作了一半而且不好

0 投票
2 回答
452 浏览

security - 常见的缓冲区溢出攻击

我正在学习计算机安全,我正在尝试查找常见缓冲区溢出攻击的列表,但运气不佳。
我计划使用 metasploit 进行渗透测试以及回溯 5,但我还没有开始。甚至指向我会喜欢的美景的指针。谢谢!


12345678910