问题标签 [security-testing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ios - 在 OSX 上使用透明的 mitmproxy 测试 iOS 应用的 SSL/TLS 证书验证
作为我正在开发的 iOS 应用程序安全测试的一部分,我想验证它在连接到各种 API 时是否正确验证了 SSL/TLS 证书。我在我的 Mac 上安装了 mitmproxy 并将其配置为透明代理,然后根据这个透明代理 iOS WiFi 截图配置 WiFi 。iPhone需要很长时间才能显示它已连接到WiFi,然后它就无法访问网络。mitmproxy 中什么也没有出现,包括在它的事件日志中:
mitmproxy 配置的详细信息
我在我的系统 python 中安装了 mitmproxy 0.11.3(并重命名了 OSX 附带的过时的 pyOpenSSL,以便它使用 pyOpenSSL 0.14 与 mitmproxy 通过 pip 一起安装)。
我正在使用以下脚本来配置和启动 pf 和 mitmproxy:
接口 en0 是我 Mac 的 WiFi 连接。
该脚本的输出(在使用 control-C 停止 mitmproxy 后可见)如下所示:
iOS配置的详细信息
我在 iOS 8.1 上使用物理 iPhone5s 并连接到与 Mac 相同的 WiFi 网络。我的 WiFi 配置如下所示:
我使用了 192.168.20.118,因为这是我的 Mac 在同一个 WiFi 网络上的 IP 地址,我使用 ifconfig 找到了它:
ios - 如何在未越狱的 iphone 5 上对 iOS 应用程序执行 sql 注入测试?
我最近一直在参与 iOS 应用程序的安全测试。该应用程序在 iphone 5 上的 iOS 上运行。该应用程序类似于“bookmyshow”应用程序,用户可以在其中预订在城市各个地方发生的事件。
我需要执行 sql 注入测试并报告安全错误(如果有)。我对这项任务一无所知。任何帮助将不胜感激。
注意:该设备是普通的iphone 5,越狱设备不可用。
提前致谢,
新手_学生
ios - 我可以在没有越狱的 iphone 5 上对我的 iOS 应用程序(正在测试)进行缓冲流攻击吗?
我需要在我的 iOS 应用程序中找到与缓冲区溢出相关的漏洞。我对什么是缓冲区溢出有基本的了解,但我不知道任何工具/技术可以在我的 iOS 应用程序中找到与缓冲区溢出相关的错误。
任何人都可以帮忙吗?
问候
新手
testing - 如何测试
我需要在所有字段中传递 (alert("XSSTest")) 这个字符串以进行测试渗透测试。即使我对此也没有太多想法。目前正在这样做,将这个文本/脚本手动输入到我的 Web 应用程序的每个字段中。任何人都可以建议我是否有任何工具可以简化这项任务。我什至听说有很多 FF 浏览器的插件可用于相同的。
security-testing - 我们如何在银行领域移动应用程序上实施安全测试?
我有一个银行域移动应用程序,那么我将如何在该应用程序上实施安全测试?
security - 客户端无法协商 ssl 连接:没有共同的密码套件 -- burp 套件
导入 PortSwigger 证书后无法使用 burp suit 篡改 HTTPS 请求。它给出了一个警报“客户端无法协商 ssl 连接:没有共同的密码套件”......因为它适用于 http 请求......我已经尝试过 Internet Explorer、chrome、Mozilla 和 java 7 和 8,但没有成功篡改请求
testing - 如何对微服务进行渗透测试/安全测试?
想测试微服务的安全要求,并做了一些谷歌,发现了一些不错的博客,例如 URL:https ://www.imbalife.com/sql-injection 。
例如,SQL 注入漏洞 Dorks。inurl:index.php?id=
如何测试 URL 是否没有任何 PHP 内容。并检查漏洞。我是这个安全测试领域的新手。请帮我。
谢谢
selenium - OWASP A1-A10 的自动化测试
我想知道 OWASP 前 10 名 (A1-A10) 中哪些都可以自动化。是否可以使用 Selenium 自动化他们的测试,如果不能,可以使用哪个工具来自动化它们?还有可以遵循或参考的任何文件或指南或任何示例。
提前致谢。