<![CDATA[文清]]>

<![CDATA[文清]]> http://www.xxsec.com/index.php zh-cn http://www.xxsec.com/read.php?499 <![CDATA[CISA学习ing]]> ebola <> Fri, 25 Feb 2011 08:59:36 +0000 http://www.xxsec.com/read.php?499 Tags - cisa ]]> http://www.xxsec.com/read.php?498 <![CDATA[ISO27001的演进]]> ebola <> Wed, 24 Nov 2010 13:33:22 +0000 http://www.xxsec.com/read.php?498 画个图，发出来，分享大家。

Tags - iso27001的演进 ]]> http://www.xxsec.com/read.php?497 <![CDATA[厦门]]> ebola <> Wed, 27 Oct 2010 06:41:32 +0000 http://www.xxsec.com/read.php?497 天气不错，比上海暖和不少。
小放松一下，难得的福利。
]]> http://www.xxsec.com/read.php?496 <![CDATA[Web服务器渗透测试工具 - webenum 0.1]]> ebola <> Sat, 16 Oct 2010 08:33:32 +0000 http://www.xxsec.com/read.php?496 工具更多信息及下载地址参见这里：http://code.google.com/p/webenum/ ]]> http://www.xxsec.com/read.php?495 <![CDATA[web应用安全评估工具 - Andiparos v1.0]]> ebola <> Fri, 15 Oct 2010 08:32:49 +0000 http://www.xxsec.com/read.php?495
工具更多信息及下载地址参见这里:http://code.google.com/p/andiparos/ ]]> http://www.xxsec.com/read.php?492 <![CDATA[Web应用安全审查平台-OWASP O2 平台]]> ebola <> Thu, 14 Oct 2010 08:25:59 +0000 http://www.xxsec.com/read.php?492 找到一些资料，发出来。

OWASP O2是一个开放源代码安全模块的集成平台，它主要针对Web应用的安全而开发，包含了多个用于Web应用安全审计的工具。同时，它还是一个自动化的安全顾问，提供知识库和工作流，使得非安全专业人员可以方便的获取、学习安全知识。总之，OWASP O2是专业安全人员评估Web应用程序安全性的必备工具。O2平台包括的主要工具：

XRules - O2的扩展规则环境，允许执行和编辑复杂的安全分析工作。
SpringMVC - Spring's MVC框架支持模块。
RulesManager - 强大的Ounce's 规则查看和编辑工具。
FindingsViewer - 强大的Ozasmt文件过滤和编辑工具。
CirViewer - 浏览和创建CIR(Common Intermediate Representation) 对象( .NET)。
SearchEngine - 基于GUI和正则表达式的文本搜索工具。
CSharpScripts - c# 脚本的编辑和调试工具。
DotNetCallbacksMaker- 自动创建针对.NET回调函数的Ounce规则。
FindingsQuery - 使用类似LAMDA查询的技术过滤Ozasmt文件。
JavaExecution - 支持JAVA编写O2脚本。
JoinTraces - 加入跟踪。
Python - 支持Python编写O2脚本。
O2Scripts - O2 脚本编辑器 (包括O2对象模型) 。
WebInspect(整合Ounce's的POC & WebInspect's 评估数据)

。

工具更多信息及下载地址参见这里：http://www.owasp.org/index.php/OWASP_O2_Platform#tab=Home_Page
Tags - web应用安全审查平台-owasp , o2 , 平台 ]]> http://www.xxsec.com/read.php?491 <![CDATA[应用评估方法论]]> ebola <> Wed, 13 Oct 2010 01:22:19 +0000 http://www.xxsec.com/read.php?491
粗略考虑了一些：
1、   方法论、标准；
2、   评估方法、措施；
3、   多次应用评估间的项目关系，形成长期的测评计划；
4、   何时参与、加入评估？评测的起始点？
5、   如何减少评估对系统的影响？
6、   项目进度安排。如何保障进度？
7、   多方协调（特别是开发商）；
8、   资源需求；
9、   预算。

有兴趣的一起讨论。

Tags - 应用评估 , 方法论 ]]> http://www.xxsec.com/read.php?494 <![CDATA[Web应用程序压力测试工具 - Siege 2.70]]> ebola <> Tue, 12 Oct 2010 08:31:08 +0000 http://www.xxsec.com/read.php?494
    Siege是一款标准的Web应用程序压力测试工具，它能够根据用户预先定义的模拟用户数量对一个给定网址进行压力测试。它还能够一次性同时访问并读取多个网址到内存中。Siege的测试报告的内容包括：所有的点击记录，传输的字节数，响应时间，并发数和返回状态码。Siege支持HTTP/1.0和1.1协议，GET和POST请求，COOKIES，访问记录和基本身份认证。它的特点是可以对每个用户进行配置。
    目前Siege 2.70正式版发布了，工具更多信息及下载地址参见这里：ftp://ftp.joedog.org/pub/siege/。

]]> http://www.xxsec.com/read.php?493 <![CDATA[应用程序模糊测试(fuzz)数据库 - fuzzdb v1.08]]> ebola <> Mon, 11 Oct 2010 08:28:06 +0000 http://www.xxsec.com/read.php?493
fuzzdb是一个应用程序模糊测试(fuzzing)数据库，该数据库收集了大量已知的攻击模式，如XSS，Xpath注入，SQL注入，XML攻击，本地文件包含，路径遍历，远程文件包含，ldap攻击，格式化字符串，http协议攻击等；有用的资源，如：针对一些常见系统、数据库和Web应用的用户名密码字典，常用的脚本后门程序，包括sh,java,asp,php,jsp,cfm等；服务器响应信息，如：一些服务器经常返回的错误信息等。这些资源非常有助于安全研究人员研究和发现应用程序安全漏洞。同时，这些资源也是一个比较全面，可重用的测试用例集合。1.08版新增加的资源：

unix和windows可执行命令参考手册
netcat参考手册
microsoft sharepoint 测试用例
file upload filter bypass 测试用例
微软无效文件名
javascript 事件
html 标签
空字节测试用例
工具更多信息及下载地址：http://code.google.com/p/fuzzdb/ 。

Tags - 应用程序模糊测试(fuzz)数据库 , - , fuzzdb , v1.08 ]]> http://www.xxsec.com/read.php?490 <![CDATA[小月月照片]]> ebola <> Sun, 10 Oct 2010 02:14:42 +0000 http://www.xxsec.com/read.php?490

小月月已经火了。看排名

Tags - 小月月 , 照片 ]]>