无线安全测试基础.pptVIP

* * /download/fiddler 页面的黑盒测试需要的工具是heimdall，这是我们公司自己开发的一个工具。 2个辅助工具：fiddler 和heimdallclient。 Fiddler是一个http协议调试代理工具，我们要对移动端的页面进行测试时，需要用这个，绑定电脑的代理。 Heimdall client用来收集url的工具。 * * * /fengyun/gameredi.jsp?url= /rest.shtml#printFeeds/comment/451/TB1pY4fXXXXXXXpaXXXXXXXXXXX/feedDetail * * 在我们对页面进行测试时，往往不是一两个url，而是一点一堆。因此，一个一个url进行测试就变得不大实用。这时，我们就要用到辅助工具heimdall client。这个工具会自动收集url，并提交到heimdall页面。 图1：这个就是heimdall client的主界面。在我们开始点页面前，需要点击录制。 图2：此时录制开始，你点你的页面，各种点，感觉功能都点击完毕后，点停止 * 图3：此时需要点击提交扫描按钮，提交扫到的url，这里会将所有的url放在一个扫描任务中进行扫描。 图4：提交时，需要给自己的扫描任务起个名字 图5：提交成功后，会有提示。这里有个选项，是否要保留本地项目文件。这个项目文件是用来做回归的。如果有问题，开发提交了新版本，你就不用再去重新点一遍，直接用保存的项目文件来扫描就行。 图6：提交成功扫描任务后，就可以在任务管理中看到提交的扫描任务。系统自动扫描。在页面可以看到扫描进度 * * /repos/ali_p4p/app/ibrand/branches331692_h5_3/ * * * Android客户端测试工具，用stc，页面地址如下。 功能支持android的黑盒和白盒。黑盒扫描，是通过黑匣子扫描，发现客户端漏洞； 而白盒扫描，是检查冗余代码，给代码瘦身，主要减小apk的大小 * * * 白盒扫描 检查冗余代码，给代码瘦身，主要减小apk的大小 * * * Trunk 自动扫描，不用我们管 Branch 自动提交 * Trunk 自动扫描，不用我们管 Branch 自动提交 * Trunk 自动扫描，不用我们管 Branch 自动提交 * * web页测试-黑盒测试 部署 安装包 设置fiddler 主界面 - Tools - Fiddler Options - connections web页测试-黑盒测试 Fiddler的使用 web页测试-黑盒测试 Heimdall使用 单个url扫描 /heimdall2.4/default.aspx web页测试-黑盒测试 单个url扫描添加任务设置 web页测试-黑盒测试 Heimdall使用 批量扫描 需用工具：heimdall client web页测试-黑盒测试 批量扫描-url录制 web页测试-白盒测试 工具：STC 地址：/stc3/ web页测试-白盒测试 web页测试-白盒测试 Agenda 常见攻击类型介绍 web页安全测试 客户端安全测试 客户端测试 Android客户端 黑盒扫描 白盒扫描 Ios客户端 白盒扫描 客户端测试- Android 工具 stc /stc3/ 功能 黑盒扫描 白盒扫描 例子 代码地址 git@:SDK/UFP_android_alimama.git? Apk包 MainActivity.apk 客户端测试- Android 1.黑盒测试 上传apk包 首页(/stc3/)- 自助测试-新建app扫描任务 客户端测试- Android 客户端测试- Android 2. 白盒测试 首页(/stc3/)- 自助测试-新建app扫描任务 提供代码库地址，上传apk包 客户端测试- Android 客户端测试- IOS 工具 stc /stc3/ 功能 白盒扫描 例子 代码地址 git@:xiaohua.zhao/munionp4p.git::MunionSDK-315? 客户端测试- IOS 添加监控：首页(/stc3/) 安全监控 - 我要监控 客户端测试- IOS 设置监控 客户端测试- IOS 首页- 安全监控 - 我要监控 总结 常见攻击类型介绍 Xss、Csrf、url重定向、Sql 注入 web页安全测试 单url扫描 多个url扫描 客户端安全测试 Android客户端 Ios客户端 Thanks! * * 这个就是因为page这个参数没有对?做html编码转义导致的在浏览器中执行了js * 非持久型，。指的就是通过GET、