13 oscarli

尚未进行身份认证

我要认证

暂无相关简介

等级
TA的排名 13w+

Jmeter高级应用笔记

场景接口:1、获取学生列表集合:要求从列表中随机获取一条学生信息。需要学生的id,grade{"total":1,"data":[{"id":"6701408323306655744","sn":"20200818000885","name":"沈隆","gender":1,"grade":"一年级","school":"小学","tags":[],"parentName":"沈隆佑","parentContact":"15100149524","duty":{"familyOwner":true

2020-08-21 16:57:37

跨语言调试RSA加密经验

最近前端与后端使用了RSA加密对请求Body进行了加密。前端使用JS、后端使用PHP。通过阅读js和php代码,大致了解他们使用加密过程。但我们jmeter压力和自动化时需要使用java代码实现。参考前端和后端的代码,很快写了一个RSA java的代码。但是在java按他们拼接参数去请求时,响应报参数错误。通过抓包获取到前端正常的请求RSAjava代码能正常解密,响应也能解密。原来参数加密时...

2020-04-08 14:05:55

Jmeter性能测试JSONObject not found in namespace

背景:性能测试时,我们需要对上个请求返回的json数据提取里的一个子json做加工处理。子json可能是一个简单的json,也可能是一个json对象数组。根据不同的业务请求json数据。用jmeter自带的正则提取不是很好动态处理。1、在http请求加BeanShell后置处理程序,输入以下代码。报如下错。2019-11-28 09:55:00,678 ERROR o.a.j.u.Bea...

2019-11-28 10:48:29

论验证签名重要性--公司安全分享

用鲜活的事例论证,以不同的角度开拓我们的视野。签名的作用证明唯一性,我们windows程序如dll和exe都使用了签名。以下验证不对签名做验证会有什么后果。注:SHA1算法已被证实不安全。1、通过技术手段在我们exe可执行程序,添加后门代码。此时exe签名会丢失。2、把新exe复制安装目录,可以直接运行,并登陆成功。与正常版本运行,用户感觉不到任何区别。3、so,看到底发现了什...

2019-07-05 15:29:44

XXE修复方案参考

XXE不同的库修复代码,略有差别,但都是通过:1、禁止加载外部实体;2、不允许XML中含有任何自己声明的DTD。可以解决

2019-07-05 14:42:03

网络安全评估

网络安全评估学习总结。1、识别漏洞主机需要加固 软件漏洞 0day web漏洞 资源耗尽 内存漏洞 加密漏洞 使用不安全的加密算法,或配置不合理、管理漏洞 网络架构漏洞 网络设计可能会暴露弱点 帐户漏洞 密码强度不达标 缺少多因素认证 不会过期密码 权限被授予超过需求权限 操作漏洞 未经培训的用户 缺乏对关键业务流程的规划 系统蔓延2、找出漏洞 安全评估安全评估技巧:审核基...

2019-07-05 14:28:44

性能测试工具jmeter基本使用

很多年前性能、压力测试都是用loadrunner。最近一些年都是用Jmeter。工具各有优劣,但我更喜欢Jmeter,轻量级,Java编写,容易做业务扩展。脚本喜欢先用BadBoy简单录制,导出Jmeter脚本后,再在Jmeter打开作脚本增强。增强无非是梳理完善的业务脚本,参数化,监控、分析等。1、参数化:可以通过函数动态生成,可以是数据文本,可以是从动态数据库获取数据。获取上步返回数据...

2019-07-05 11:16:57

等保2.0 三级检查明细

序号 大项 测评指标 测评对象 测评实施 判定标准 安全通信网络 网络架构 应保证网络设备的业务处理能力满足业务高峰期需要 路由器、交换机、无线接人设备和防火墙等提供网络通信功能的设备或相关组件。 1) 应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足 需要; 2) 应核查网络设备是否从未出现过因设备性能问题...

2019-05-27 15:18:38

WEB常见漏洞及修复参考

漏洞类型 造成原因 修复方案 重定向攻击 跳转的URL由前端输入,存在跳转URL被篡改、构造危害URL地址,导致用户受到攻击 方案1、后台设置跳转白名单 方案2、前端提交跳转标识字符,后端返回约定后的URL重定向地址 服务器端请求伪造(SSRF) 一般与使用场景有关,在提交http报文时,报文body参数内容包含完成URL地址,被替换为挂马等有危害URL...

2019-05-08 08:54:35

APP checklist 2017

Penetration testing checklist based on OWASP Top 10 Mobile 2016       M1. Improper Platform Usage Test Name Result M1-01 Misuse of App permissions Issue M1-02 Insecure ver...

2018-11-28 14:46:31

解决内网.svn信息泄露问题

内网安全检查每次报一堆.svn信息泄露,为了解决这个问题,编写了一小shell脚本放到自动发布脚本里。下载静态文件到部署目录后自动删除.svn目录。已经过实际测试。#!/bin/shSVNurl=http://xxxxxxxxxxecho "svn获取文件"rm -rf distsvn co $SVNurl dist --username=user--password=xxx...

2018-08-21 17:45:48

2018黑帽大会工具清单-Blackhat

 1、Android,iOS和移动黑客易受攻击的iOS应用程序:Swift版https://github.com/prateek147/DVIA-v22、代码评估OWASP依赖性检查https://github.com/jeremylong/DependencyCheck美洲狮扫描https://github.com/pumasecurity/puma-scan3、加密DeepVi...

2018-08-15 14:28:18

Burp Suite Intruder模块有效载荷处理功能

对于目前大多数WEB系统都是可以直接使用工具进行直接扫描进行安全测试,但也有一些接口做了签名。如APP一般使用签名http报文,一般使用HASH或AES等。下面介绍简单介绍HASH签名http报文安全测试。1、首先,在Burp suite抓到http或https报文,发送到Intruder2、在Positions设置好参数:Attack type:Pitch fork      在Payloads...

2018-03-02 16:11:54

勒索软件安全意识小测验

如果答对8道以上,说明您已经初步具备防范勒索软件的能力,如果10道全部答对,那么你已经比肩安全专业人士了。(判断)杀毒软件能有效防范勒索软件。( )(判断)中了勒索病毒后,用杀毒软件查杀后就能清除病毒并解密文件。( )(判断)发件人邮箱确认是公司网络管理员的,那么这封邮件基本上可以确认不是伪造的。 ( )(判断)如果定期打补丁,可以不开防火墙裸奔。( )(判断)如果安装启用了杀毒软件并及时更新,可...

2018-03-01 09:45:13

安全设计--防止人为刷票

网上各种投票特别多,很多没有做好安全设计,在各种投票漏洞,可以存在人为各种投票。最近发现有个站做法很值得大家借鉴,之前也听说过这种方法,可能之前关注不多,只是没有遇到过;https://www.wenjuan.in/一般防止重复投票,有http报文加签名,限制IP,限制浏览器,限制设备等。这些方法一般都可以通过技术手段绕过。而此站他们是在http报文里有个参数,是通过js方法动态计算出来的,即需要...

2018-02-23 10:12:19

WingIDE6破解

最近想写个python自动化接口测试框架。用到了WingIDE,之前一直使用的是5版本。之前一直用python2.7.  为了使用Django2.0版本,必需使用python3版本。为此在电脑重新搭建环境。注:此破解只针对python3环境1、官网下载WingIDE6最新安装包:http://wingware.com/downloads/wing-pro2、安装后完成。并运行

2017-12-06 17:48:46

AES加密测试原码

AES加密调试原码,有利于理解app等http请求加密签名,进行安全测试AES加密方式一:package oscar.jmeterTest;import java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKe

2017-11-27 14:30:25

“裸奔”的互联网---你是否裸奔,被围观

1. HTTP数据窃取与篡改 我电脑数据又不走你的网卡,你能获取我的数据? 我想对你说 呵呵换个IP看一下:呵呵,也是可以的  啥么技呀,咋做到的呀,想对你说,有点麻烦,没有网管来得方便,呵呵... 帐号密码你拿到没用呀,密码MD5加密了,对你有意思,MD5挡住我,呵呵...,MD5解密而已,只是时间问题。

2017-11-24 13:19:56

软件业务功能---安全设计

安全设计目的软件在恶意攻击下能够正确地完成其功能产生安全场景意外行为恶意行为场景1:管理员或普通人员删除数据操作例如:以下(修复待验证安全问题)删除数据请求,通过参数codes的值,来删除数据。如果没有验证登陆的用户是否有权限删除codes,那么通过遍历codes值,可以删光所有codes数据。这种问题在一般系统应该比较常见。后续修改成本都很高,有些可能修复

2017-11-24 11:19:34

Android APK安全: 代码混淆且加壳防止反编译

最近学习了下APK安全防止反编译,目前还只初步阶段。以下是经过实践,现在做一下简要实践步骤总结。用到工具 Android Studiojd-gui-0.3.5.windowsdex2jar-0.0.9.15apktoolIDAProv6.8C32AsmDexFixerWindowssigntool.zip2、添加花指令 添加花指令:在Android项目添加一个永不能执行到clas

2017-11-23 15:41:24

查看更多

勋章 我的勋章
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv1
    勤写标兵Lv1
    授予每个自然周发布1篇到3篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。