好像 IBM 之前出过一款软件叫 APPSCAN，可以做一些 web 端的测试检查

常见的 c 端需要测试漏洞也就是 sql 注入还有 xss，python 有个 sqlmap，可以用来测试这两个。另外 xss 建议根据实际项目去直接录入 js 验证。

接口漏校验（只在前端做了校验，接口层未校验），水平越权（使用用户 A 的 token，可以修改用户 B 的某些信息），前天测试时遇见的

谢谢，我去了解一下

谢谢分享

好像有听说过，不过没有用过呢，我也去了解一下

BurpSuite 打遍天下，我靠他挖掘到 N 多问题，诸如：

• 敏感信息遍历
• 文件上传漏洞
• 越权漏洞
• 优惠券篡改
• 积分修改

等等

常见的漏洞有：

1. XSS（跨站脚本攻击）；
2. CSRF（跨站请求伪造）；
3. SQL 注入；
4. 越权漏洞；
5. 文件上传漏洞（一句话木马、webshell 攻击等）；
6. 暴力破解（密码或验证码等）；
7. 中间人攻击（可以参数加密，HTTPS 来防范）；
8. 业务逻辑漏洞（这个就很广泛了，需要根据具体业务分析）：
   1. 参数修改（如果后端未校验，可修改积分、余额、商品价格等等）；
   2. 任意修改密码漏洞（FreeBuf 上有很多文章）；
   3. 等等。。。 FreeBuf 是个不错的网站，可以常去看看。

多谢，只是内容有点多，不知道该怎么去做。。无从下手的感觉

请问你用的是付费版还是社区版呢？

具体挖掘这些信息是怎么做的呢？有没有好的教程之类的可以推荐下呢？多谢啦！

一直在用 Larry_Lau 破解版 : )

分享两个网友实例：

• 接口测试除了功能，还有安全
• Web 安全测试中常见逻辑漏洞解析（实战篇）

多实践多总结！

thanks

OWASP 了解一下。

谢谢，看了一下，自动的扫描很好用，还没有弄明白手动的修改请求怎么做

是买的正版的？

用工具简单，了解原理才是最重要的！
1、无论是 Appscan、BurpSuite，都是客户端软件，目前都流行将各种测试工具服务化，变成云测工具！
2、github 中搜索 awesome-security，有你所要的知识！

嗯，的确不懂原理，需要恶补啊，有其他好的资源的话，也感谢分享一下哦～你说的这个 github 我会先去看一下，学习一下

使用上面的关键词搜索，可以搜索出多个知识类的开源项目