在渗透过程中,MSF漏洞利用神器是不可或缺的.更何况它是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击.它本身附带数百个已知软件漏洞的专业级漏洞攻击工具.是信息收集.漏洞扫描.权限提升.内网渗透等集成的工具. 前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑,优化了msfconsole终端操作,并将PostgreSQL作为一个RESTful服务单独运行.此外还加入一个Web服务框架,新的免杀模块,优化了控制功能等. 下面小白总结了一下在渗透测试…

[原创]浅谈H5页面测试介绍 目前移动互联网非常火热,除了各种App,H5也是非常热,由于H5跨平台,且版本更新容易,做为引流或获客是非常好的一种简单低成本平台:今天来谈谈H5页面测试都要测试什么? 闲话少说,H5页面测试看到这个大家就会联系到Web页面测试,其中二者有相同之处,也有不同之处,但是总体测试策略是大体相同,且听我一一道来,先说说我现在公司对H5测试我们重点测试什么,主要有以下几类: 1.功能测试:主要是各系统功能点实现,与之交互的逻辑处理是否合理,如:登录就需要考虑H5与App之间…

1.测试环境 2.测试前准备 3.测试过程 -3.1虚拟机环境测试 -3.2局域网靶机测试 4.测试感想 1.测试环境 攻击机: OS:kail IP:192.168.15.132/192.168.137.231 靶机: OS:Windows7 Office版本:Office2013_CN IP: 2.测试前准备 1.下载python脚本 2.下载MSF组件 3.将cve_2017_11882.rb复制到/usr/share/metasploit-framework/modules/exploi…

A/B测试背后有着高深的统计学知识,今天我们就来讲讲常见的辛普森悖论. 辛普森悖论 (Simpson's Paradox) 是英国统计学家 E.H.辛普森 (E.H.Simpson) 于1951年提出的悖论,即在某个条件下的两组数据,在分别讨论时都会满足某种性质,可是一旦合并起来进行考虑,却可能导致相反的结论. 举一个辛普森悖论的简单小例子:一个大学里有商学院和法学院两个学院.这两个学院的女生都抱怨"男生录取率比女生录取率高",有性别歧视.但是学校做总录取率统计,却发现总体来说女生录取…

现在我们测试时,开发会先在本地机上打好测试包,自己安装,轮完一轮,开发修改好后,再打一个包.以下是功能测试时需要注意的点: 1.登录 ●登录用户名和密码错误时,界面有提示信息 ●用户主动退出登录后,下次启动APP时,应该进入登录界面 ●对于支持自动登录的APP,数据交换时  ,是否能自动登录成功且数据库操作无误 ●密码更改后,登录时是否做到了有效数据的校验 ●对于未登录时一些页面的操作,是否做了控制 ●切换账号登录,检验登录的信息是否做到及时更新 ●对于多个端都进行操作时,确保数据库操作无误,且…

该文章仅供学习,利用方法来自网络文章,仅供参考 the-backdoor-factory-master(后门工制造厂)原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成payload,并且在程序执行的时候,jmp到代码段,来触发payload. 测试靶机环境,win7系统,wechat(微信)2.6.8 靶机ip:192.168.190.129 目标:利用the-backdoor-factory-master对微信自己的dll动态连接文件植入后门,等微信运行之后,反弹…

半夜起来看世界杯,没啥激情,但是又怕错误意大利和英格兰的比赛,就看了rhel7 相关新功能的介绍. rhel7的下载地址: https://access.redhat.com/site/downloads/ 安装还算顺利,安装的界面比以前简洁的多,很清爽,分类很是明确. 有些奇怪的是,我安装的时候,怕有些基础的包没有装上去,所以选定了mini和Web的类型,结果还是有些基础的包没有安装,比如 ifconfig . 虚拟机的网卡,被识别为ens,有意思. yum groupinstall Base…

[原创]浅谈移动互联网App兼容性测试 今天要谈的话题,估计各位测试都有感受,移动互联网App兼容性测试,我们到底测试覆盖如何去挑选机型?具体移动App兼容性测试如何开展?是不是应引进像testin这样的第三方来检查覆盖?可能问题还会更多,我就不一一列举,谈谈我现在是如何处理这块的. 我所在的公司是一家互联网金融公司,目前公司主要的产品是一款理财App,所以相对于使用群体来讲,不能和像QQ或微信这类客户端相比,所以在做兼容测试时,我们会有策略和方法的挑选特定的机型来进行兼容性测试. 哪么App兼…

[原创] 浅谈ETL系统架构如何测试? 来新公司已入职3个月时间,由于公司所处于互联网基金行业,基金天然固有特点,基金业务复杂,基金数据信息众多,基金经理众多等,所以大家可想一下,基民要想赚钱真不容易,首先你要在这么多基金中选一个靠谱的基金经理,想获得一份不错的基金收益,尤如大海捞针,其码我对这个没什么自信. 闲话少说,哪么我们来看看ETL系统架构是咋回事,简单理解ETL就是将数据抽取,数据转换,数据加载的一个过程,其中每个公司都有不同业务,如下图所示: 上图展示了一个典型的ETL系统架构,其中…

[原创]浅谈移动App安全测试 移动互联网很火,就像当年互联网兴起一样,这几天和朋友在沟通交流,谈到一个话题,你们做金融App钱放在你们哪边安全不?会不会你们做的移动App不安全,让人盗了里面的资金,我想了想,然后说这个你估计不了解,我们资金肯定是安全的,前段时间我刚好对App做过一些安全测试,才有信心说这个话,所以今天打算总结下前段时间的成果,算是有个交待. 移动App安全测试与传统软件或是Web安全测试还是有一定区别,必竟偏移动平台,主要是IOS和Android两个大的平台,当然做为移动金融…