分类:安全测试

支付宝--平台技术部--质量技术部--工具平台研发团队招聘

蚂蚁金服--平台技术部--质量技术部--工具平台研发团队邀请您一起打造AQC 全力打造蚂蚁金服全站产品质量管控、资损防控、风险防控、测试管控、回归体系、效率工具、无线测试等平台,见http://aqc.alipay.net 全站回归体系建设,见详情;无线测试平台建设,见详情;线下工具平台建设实践,见详情 工作年限:五年以上 学历要求:本科或硕士 岗位级别:P6+、P7、P8 待遇面谈:Base + 年终奖+ 红包 + 股权激励 岗位描述: 1. 负责测试平台研发、持续集成平台或回归体系建设、自动化测试框架研发、移动应用开发(andriod或ios); 2. 带领组员进行项目研发和关键技术攻关; 3. 要带头写代码,尤其是技术攻关,要能够落地,不单单只是方... 详情

【GBA】2013-mtop接口安全隐私问题

BUG作者: 风雁 BUG描述: 1.mtop接口请求协议是http,未加密,能够轻易地被中间人获取,泄漏用户隐私 2.mtop登录接口流程设计有误:用户在手机端登陆后利用者可用同样的请求再登陆一次(即利用者获取了用户登陆后的所有权限) 3.mtop登录接口中用于RSA加密的公钥N长度为1024位,易被破解(虽然token的有效期是10秒,但是利用者只需要拿到公钥和加密后的结果,在一定时间内可破解出用户明文密码。不过鉴于能破这公钥的人很少,这个问题影响级别很低,下文不做描述)..(更新:公钥强度极低,可快速(毫秒级)破解出用户明文密码) BUG影响: 使用淘宝主客时用户数据泄露、登陆劫持、用户登陆密码泄露。 BUG发现过程: 用电脑搭建一个AP,手机连... 详情

移动设备的常见安全问题以及防范措施

近年来,智能手机越来越普及,目前它已经渗入到我们生活的方方面面, 不仅仅是日常的交流。而其存储的信息也已不限于手机号码,联系人方式,或者是短信内容,其他与用户生活、工作相关的许多活动以及信息都已与这个小小的东西联系在一起了。毫无疑问,智能手机极大地改变了我们的生活方式,它让我们的生活、工作变得更加方便。然而,另外一方面,正是由于它与我们的生活、工作的联系如此紧密,与之相应的安全问题也日益突出,而且需要引起用户和安全系统开发人员更大的重视。本文将从不同情况出发,详细介绍智能手机一些常见的安全问题以及相应的防护措施。 一、手机被盗 如上文所说,智能手机上通常存有用户的许多私密信息,比如联系方式,交易记录,甚至是用户的帐号、密码。一旦用户手机被盗,这些信息就存在泄漏的风险,其带来的后果可... 详情

短域名带来的安全问题

短域名这个技术很早就出现了。 不过把它发扬光大的看来是各种的微博。 之前写过一篇各大网站短域名安全性的对比,当时的安全性惨不忍睹 ,连最基本的脚本也没有过滤 ,当时就说各种XSS可以通过短域名重获新生了 。 在年初的时候,专门对sina微博又去实验了一把,发现针对XSS的bug 基本都已经修复了,连最晚发现的那个针对外部分享转短域名可以绕过的那个问题也修复了。 现在转短域名的安全防护应该已经很成熟了,在做安全测试过程中,针对短域名遇到的一些安全问题也可以分享交流下。 短域名有什么用 ? 1、 避免超长的链接,在页面上展示 诸如微博那样的平台,一共就140个字,一个链接占了一半,根本就没法在写内容了 2 、 移动平台方便观看 在手机端,... 详情

Android信息保护

Android信息保护 客户端的信息保护类似与web端,这里抛开Android自身组件的安全问题不谈(这个后面有时间可以慢慢交流下),简单共享一下如何保护一些关键信息,对客户端开发可以做一些参考。 1、重要信息放在哪儿 重要信息放在哪儿,重要信息分两种 一种针对用户的重要信息,譬如确认我登陆状态的信息存在哪儿,我的密码存在哪儿(有些客户端会存放用户密码,然后当再次打开后会使用该密码登陆,以此做免登)。 一种是针对客户端的重要信息,每个使用者都是通用的,譬如某个客户端判断用户是否是vip用户的验证信息,某个游戏判断用户是否买了道具的验证信息 这些信息自然不能明文直接放在数据库或xml或硬编码在java中,最好当然是放在服务器中,每次需要的时候,先做一次身份验证然后... 详情

Android客户端捕获http请求包的方法

对于Web测试,我们可以很容易的抓取到相关的http请求包,不用什么专业软件,甚至浏览器都能帮我们完成这个功能,拿到需要的http请求连接 。 http连接对于测试同学来说, 不论做功能、性能或是安全,都是非常重要的, 他过滤了前台的因素,让测试同学直接能对后台进行交互。 以上是http连接的重要性,基本等于废话,下面是正题。 客户端安全测试,同样需要拿到http的请求包,由于客户端的前段限制绕过比较麻烦,那么在做安全测试的过程中,直接拿到http的请求包显得更外重要。 有如下方法可以拿到请求的http包: 1、在不配置代理的情况下,对Android客户端(模拟器)的数据我们可以使用wireshark或者etherpeek等网络层抓包软件抓取,模拟器本身的数据交互是通过电脑主... 详情

让android程序无论怎么退出都从起始页进入的方法(登陆权限验证)

让应用不论按 home 或者 back (back退回到起始页的前一个页面,再按back 即退出,不会回到起始页)退出后在进入程序,都会从程序的起始页面开始 这个需求可以用在各种需密码才能进入的 安全软件中,起始页 可以认为是输入密码activity , 搞了将近一个下午, 整理了些方法, 提出来 ,对整个APK的加密防范思路, 可以参考 另一篇博文http://taobaotest.ruoguschool.com/blogs/2336 需求看起来很简单, 但实现起来 却有很多种方法来实现 , 我这里摘取了一些比较容易的实现方式实现, 当然有更好的可以集思广益 , 共同进步 1 、首先对你所有的activity 都以 singleTask方式 启动 ,类似这样: <acti... 详情

编写android短信安全程序项目中的安全注意点

有幸参加了淘宝网组织的工程师之夜第二轮无线之夜, 与boss铁花和乔倩同学一起做了个 短信的收读程序 , 重点在体现安全性上, 在程序过程中有点小收获,记录于此, 第一次做完整的android 程序, 没看什么参考,单纯个人理解 ,这里的安全我分三块,APK反编译、activity安全,数据库安全。 APK反编译, 在APK反编译上,我们使用了淘宝两套反编译工具, 一套代码保护,一套DEX文件保护,使用通过So文件加载, 以及不能被反编译的Dex文件 等,由于涉及到淘宝产品安全, 具体就不细讲了 。 activity 安全,在这一块上我们做了几个内容, 第一个是所有程序入口必须是输入密码界面,用户不能从其他方式进入到程序的其他activity中 使用... 详情

业务安全之身份认证问题思考

安全测试中的身份认证 包括的点很多, 例如 水平权限、CSRF、账户登录 等都可算入身份认证的问题中 。 明义 : 先确定几个概念, 某行为发出人为主体人, 攻击者为干扰方 。 本文的思考 重点在于, 如果A与B发生了 某行为 ,例如 A在 B的店中 下了单, 或者 B 对A 进行了 评论, 那么服务器如何确定 这个操作真是 是由 A和 B 两个主体 发出的 ,并且重点讨论其中出现的主体人被入侵的情况。 以CSRF为例 (可能不是很确切, CSRF 主体人 只有一个,但容易理解) ,小a 收到 某攻击者 H 的链接, 意外打开后 发现 自己的商品都被下架了, 那么攻击者 H 在这个事件中为干扰方, 小a就是主体人,在这个事件中,如果未加任何防范措施, 那么服务器认为这个... 详情

基于referer判断钓鱼网站的一些思路

基于referer判断钓鱼网站,只是验证钓鱼网站的其中一个维度,做为一个不错的出发点, 我们可以善用这个发现许多有价值的信息 。 referer 作用为 告诉服务器 一个http请求 从哪里过来的, 一般可以判断 图片盗链之类的, 当然也可以用来做一些简单的安全防护 。 首先来看看, 钓鱼网站的一些特性, 绝大部分钓鱼网站会整个copy 原站的代码, 然后修改其中某些部分的链接。 以登录为例 , 我可以 申请一个域名, 名字叫 toabao1.com , 或者 taoba0.com 这样混淆度比较高的域名, 然后再在国内,或者国外找一台服务器, 从淘宝主页copy一下 ,整个源码 ,放进去,不需要任何 技术, 让他跑起来, HTML静态代码即可, 然后把 登录页面的 ... 详情

探讨如何无遗漏保证业务安全点的分析---利益影响分析法

前言 技术安全漏洞我们可以通过代码的规范标准去约束,业务安全我们有很多案例当标准,但还是经常遗漏。 保护对象 淘宝交易简易模式: 这种情况下把所有买家、卖家都划成了一类人,等同于一个人,所有交易划成一类交易线上交易,等同于一笔交易。 当发生多比交易的时候: 买家卖家交易之间的关系: 买家1 –>卖家1交易1 买家2 –>卖家1交易2 买家3 –>卖家2交易3 买家1 –>卖家3交易4 这里有独立的买卖家通过淘宝的交易;有同卖家不同买家的交易;有同买家不同卖家的交易; 这其中会有由于别人的交易,然后产生新的交易; 最后我们可以简单的得出相对详细的保护对象: 买家、卖家、其他买家、其他卖家以及淘... 详情

双11之安全测试

网民淘友的网购狂欢节 11.11 再过几分钟即将热烈开场,不知又有多少家多少人开上n台电脑,拉上所有能操作鼠标的壮丁(老爸,老妈啊弟弟妹妹啊,老公情人等等等等),打开所有的准备抢的商品页面,就等双11开始的那一秒抢下自己盯了好久的商品。为了大地上的爱与和平,为了网购狂欢的安全,让我们来看看安全测试为双11都做了什么呢。 web漏洞检测 针对web漏洞,所有双11新增修改的Java代码,php代码等都经历了,白盒代码扫描,黑盒fuzzing测试,日志监控自动扫描等各个环节的洗礼。 -白盒代码扫描 n STC项目自动扫描(前后共提交了9个不同系统的双11项目) n TMS发布时自动触发STC扫描 -黑盒fuzzing n 爬虫式自动黑盒fuzzing n 手工黑盒fuzzi... 详情

Apache httpOnly Cookie泄露分析与测试

Apache HTTP Server 2.2.x多个版本没有正确严格限制HTTP请求头信息,HTTP请求头信息超过LimitRequestFieldSize长度时服务器返回 400(Bad Request)错误,并在返回信息中将出错请求头内容爆出,攻击者可以利用该漏洞获取httponly cookies。 受影响版本: 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17, 2.2.16, 2.2.15, 2.2.14, 2.2.13, 2.2.12, 2.2.11, 2.2.10, 2.2.9, 2.2.8, 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2, 2.2.0 测试方法 1.测试环境 Apache/2.... 详情

内网安全_arp的攻击与防御

(本文图片和斜体内容来源于互联网,其他均为原创,转载引用请注明出处,qa.taobao.com ) 之前写过一篇小分享,现在沉淀一下,本文首先介绍ARP原理,ARP攻击原理与危害,最后给出在内网中的攻击实例以及防御方法。 时间关系,许多内容并没有详细介绍,譬如交换机集线器传输差别,ARP协议字段解释等,需要了解这方面的信息又google不明白的同学可以旺旺联系我,云林。 由于本人水平有限,这段时间都不曾接触网络协议,文中难免错误,敬请各位大侠不吝指教。 ARP原理: ARP协议(Address Resolution Protocol),或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进... 详情

UML之类图

描述类的类图 [caption id="attachment_12210" align="alignnone" width="286" caption="普通类图"][/caption] 在上面的类图中可以看出,表示类的框分成以下几层: 类名 属性清单 方法清单 如果一个类内部成员类,它的类图就会有五层。在类的类图中,除了类名层是不能省略,其他都可以省略。 第一层是类名:具体类(可以实例化的)是正体字,变量名如果是斜体字,表明类是抽象的。 第二层是属性层:一个属性是public (+),private(-),protected(#)修饰的。 第三层是方法层:同上,如果staticMethod()方法虾米有一道下划线,表明这是一个静态的方法。 第四层是性质层:性质是由一个... 详情

返回首页 博客 技术交流 产品 期刊下载 关于我们 意见反馈 无障碍

浙ICP备09109183号-14 Copyright © 2003-2015 TaobaoTesting.com 版权所有