@安全測試 / 博客 RSS 訂閱

Dec 23 2025

百度安全 - 企業人員安全意識｜實戰淬鍊：釣魚演練讓安全意識成為本能

此前，我們在探討企業人員安全意識的系列推文中，分享了線上線下協同的人員安全意識培育模式。不少業界同仁追問：培訓已開展、知識已輸入，如何驗證員工真正將安全意識內化於心、外化於行？ 其實檢測安全意識的方法有很多，百度的企業人員安全意識解決方案主張基於員工職業生命週期的精細化治理，我們將安全意識的培養深度嵌入到員工的職業旅程中：從入職首日的新人引導，到試用期轉正的合規考核，再到常態化的全員演練及針對高風

郵件系統 , 安全防護 , 網絡安全 , 安全測試 , 防護技術

收藏 評論

Jan 03 2024

極限實驗室 - 開啓安全功能 ES 集羣就安全了嗎？

背景 經常跟 ES 打交道的朋友都知道，現在主流的 ES 集羣安全方案是：RBAC + TLS for Internal + HTTPS 。 作為終端用户一般只需要關心用户名和密碼就行了。作為管理和運維 ES 的人員來説，可能希望 ES 能提供密碼策略來強制密碼強度和密碼使用週期。遺憾的是 ES 對密碼強度和密碼使用週期沒有任何強制要求。如果不注意，可能我們天天都在使用“弱密碼”或從

安全測試 , 集羣

收藏 評論

Nov 06 2025

TesterHome - 安全測試之 CSRF 跨站點請求偽造

原文由發表於TesterHome社區，點擊原文鏈接可與作者直接交流。 ▌CSRF 攻擊 CSRF 跨站點請求偽造 (Cross—Site Request Forgery)：大概可以理解為攻擊者盜用了你的身份，以你的名義在惡意網站發送惡意請求，對服務器來説這個請求是完全合法的，但是卻完成了攻擊者所期望的一個操作，比如以你的名義發送郵件、發消息，盜取你的賬號，甚至於購買商品、轉賬等。 例如：Web A

安全測試 , csrf

收藏 評論

Nov 06 2025

極狐GitLab - GitLab 憑藉什麼連續 3 年上榜 Gartner 應用程序安全測試魔力象限？聽聽 GitLab 自己的分析

本文來源：about.gitlab.com 作者：Sandra Gittlen 譯者：極狐(GitLab) 市場部內容團隊 應用程序安全測試（AST）對於應用程序研發來説，是一個正在快速發展並且十分重要的領域。DevOps 方法論提到：需要將測試集成到開發人員的工作流中。GitLab 相信在軟件研發中，AST 越成熟，應用程序就會越安全，同時企業也能夠更容易滿足合規要求。相信 D

ast , devsecops , devops , 安全測試 , gitlab

收藏 評論

Nov 06 2025

京東雲開發者 - 邏輯漏洞挖掘之CSRF漏洞原理分析及實戰演練 | 京東物流技術團隊

一、前言 2月份的1.2億條用户地址信息泄露再次給各大公司敲響了警鐘，數據安全的重要性愈加凸顯，這也更加堅定了我們推行安全測試常態化的決心。隨着測試組安全測試常態化的推進，有更多的同事對邏輯漏洞產生了興趣，本系列文章旨在揭秘邏輯漏洞的範圍、原理及預防措施，逐步提升大家的安全意識。第二篇選取了廣為熟知的CSRF漏洞進行介紹。 二、CSRF漏洞介紹 1、CSRF漏洞的定義 跨站請求偽造（Cross-s

漏洞 , 安全測試 , csrf , 安全漏洞 , 安全

收藏 評論

Nov 03 2025

xcmd - 📥 x-cmd install | Wuzz - Web 開發與安全測試利器,交互式 HTTP 工具

在 Web 開發和安全測試中，我們經常需要檢查和修改 HTTP 請求。瀏覽器自帶的開發者工具雖然好用，但複製出來的 cURL 命令冗長且難以編輯。今天要介紹的是 Wuzz，一款交互式命令行 HTTP 工具，它能夠方便地讓你像編輯文本一樣修改 HTTP 請求，並實時查看響應結果。 Wuzz 的命令行參數與 cURL 類似，因此你可以直接使用瀏覽器複製的 cURL 命令作為輸入。它最大的特點在於提供了

命令行 , HTTP , 安全測試 , curl , Web

收藏 評論

Jan 27 2022

凡二先生 - fiddler的初步使用

1、配置代理端口 在https裏面配置可允許抓取https的信任證書操作，在actions裏面選擇第一個： 在tools的options裏面，設置代理端口號： 2、在對應瀏覽器配置代理後，可以通過filters進行過濾，所要抓的請求： 3、對請求進行操作 1、打斷點，在fillder的最下方切換模式，進行斷點，即在頁面的請求，在此處就被攔截： 在

fiddler , 安全測試 , 環境搭建

收藏 評論