问题标签 [security-testing]

我正在扫描我在 Asp.net 中构建的 Web 应用程序。扫描程序正在将垃圾数据注入系统，试图在系统上进行盲注 Sql，但我正在使用带有参数化查询的 Sql 存储过程，它正在逃避盲注 sql，但这些垃圾条目作为普通文本存储到系统中，我正在清理输入不带'和其他sql相关参数。现在我的问题是

1）这些垃圾条目对系统有任何威胁吗？
2）如果我已经在使用带有存储过程的参数化查询，我真的需要清理输入吗？3) 如果您不创建登录序列，扫描仪无法将信息输入系统，这是一件好事吗？

我应该采取的任何其他预防措施请告诉我

谢谢

用于安全测试和黑客攻击的最佳 Linux 操作系统是什么？我听说黑色轨道是最好的。业内其他最好的操作系统是什么？这些操作系统有什么不同？

非常感谢这里的任何帮助:) 想检查是否有人使用ZAPProxy对 RESTfull WebServices (API) 执行安全测试。我知道这个工具为在网站上进行安全测试提供了很好的开箱即用的功能，但我不确定它在 Web 服务上的效果如何。我知道我可以使用 SOAPUI，但我听说这并不全面。请建议！

我的场景：

我导航到登录页面。我输入了一个密码错误的已知用户名。ZAP 没有任何问题。

我选择 POST 到登录页面。我找到包含用户名和密码的行。密码：ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password=12345&

我突出显示 12345 并右键单击以选择 Fuzz。我已经为测试帐户输入了一个包含正确密码的自定义列表，然后我选择了它。

当我这样做时，它会按照我的预期在列表中运行。将 12345 更改为列表中的各种选项。

但是，当我知道这个词是正确的密码时。提醒我它是正确的并没有什么不同。在这种情况下，密码是 Password5。我希望它会反映或显示它被定向到新页面。但是，对于测试用户来说不正确的“密码”会发生这种情况。

我在 Fuzzer 选项卡中看到了这个：

寻找安全测试类型是安全测试的动态和静态分析部分吗？作为 QA 测试人员，我们是否需要了解编程或编码语言知识才能执行安全测试？我们可以在 STLC 或 SDLC 的哪个阶段进行安全测试？

除了 OWASP XSS 过滤软件，还有其他的方法可以防止 XSS 攻击吗？如果可以在 apache 级别进行预防，我需要建议。我不是安全专家，所以需要详细信息。谢谢你的帮助

我想知道如何从警报选项卡中排除某些响应？如果有办法。找不到。

例如，如果响应页面报告“字符到数字的转换错误”，我想告诉 zap 攻击代理这不是漏洞而是正确的响应，因此它不应出现在警报选项卡中。

我想为 iOS 应用做一些安全测试。应用中有一些HTML5页面，所以我想做一些安全测试，比如网络请求，或者其他。我知道 Windows 上有很多工具，但 Mac 上有一些工具吗？我也想知道直接扫描app的工具，有吗？

我正在测试一个生成安全证书的应用程序。我需要使用适当的凭据登录才能访问该应用程序。我没有看到注销选项。桌面应用程序是否需要注销，或者只是退出/关闭应用程序就足够了？

是否可以读取/写入/删除其他应用程序创建的文件或文件夹中的数据？我 99% 确定 Android 操作系统不会提供此类权限，但 100% 确定，我想知道这一点。整个背景是，如果我从外部来源下载 Android 应用程序，我可能会遇到什么样的安全威胁？