markdownappsec意识培训-第2天(代码片段)

关键词：

### Review OWASP Top 10 appsec risks
- https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
- https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

### Security Maxims overview
- https://www.techrepublic.com/blog/it-security/it-security-maxims-for-the-ages/

### Security Engineering principles overview.
- Least Privilege
- Fail-Safe Defaults
- Economy of Mechanism
- Complete Mediation
- Open Design
- Separation of Privilege
- Least Common Mechanism
- Psychological Acceptability
- Defense in Depth
- Secure Weakest Link First

Ross Anderson's Security Engineering book
- https://www.cl.cam.ac.uk/~rja14/book.html

Garry McGraws' 10 software security principles
- http://www.zdnet.com/article/gary-mcgraw-10-steps-to-secure-software/


### Walk through the flagship OWASP projects
- ASVS: https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
- Testing Guide: https://www.owasp.org/index.php/OWASP_Testing_Project
- ZAP: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
- SonarQube: https://www.sonarqube.org

Practice (preparation for day 3): demonstrate the workflow of security penetration testing – discover, verify, and remediate a vulnerability.

markdownappsec意识培训-第3天(代码片段)

查看详情

markdownappsec意识培训-第5天(代码片段)

查看详情

markdownappsec意识培训-第3天(代码片段)

查看详情

6.企业安全建设指南(金融行业安全架构与技术实践)---安全培训(代码片段)

第6章　安全培训6.1　安全培训的问题与“痛点” 安全意识就是"对风险的感知和主动规避"。 6.1.1　信息安全意识不足的真实案例 6.1.2　信息安全培训的必要性 金融企业信息安全培训的必要性体现在三个方面： 1.金融... 查看详情

软件测试培训第12天

       今天花了一整天时间在安装Linux的操作系统，途中遇到各种问题，在老师帮助下逐步慢慢解决。       一．安装gccgcc cloog-ppl  ppl(libppl.so.7/libppl_c.so.2)&nbs 查看详情

软件测试培训第14天

今天的课程是就Mysql数据库进行了更进一步的练习与讲解，通过自己创建数据表并且添加数据从而进行更复杂的查询练习，对数据库的内容也慢慢有了一些了解：MySql数据类型整型（int）小数（decimal(8,2)）字符串（varchar）日期（d... 查看详情

软件测试培训第17天

数据表的操作：表的创建1.表是数据库存储数据的基本单位。一个表包含若干字段或记录；语法：create table表名(属性名数据类型[完整性约束条件],属性名数据类型[完整性约束条件],……属性名数据表格[完整性约束条件]);2.主... 查看详情

软件测试培训第27天

编写单元测试用例的方法一、单元测试的概念　　单元通俗的说就是指一个实现简单功能的函数。单元测试就是只用一组特定的输入(测试用例)测试函数是否功能正常，并且返回了正确的输出。　　测试的覆盖种类　　1.语句覆... 查看详情

2020小迪培训（第10天信息收集-资产监控拓展）(代码片段)

信息收集-资产监控拓展Github监控便于收集整理最新exp或poc便于发现相关测试目标的资产如何使用（为什么用这个技术？一是官方的ctms是需要收费的，我们可以通过监控github来找到类似的源码，二是在github官网上... 查看详情

软件测试培训第26天

 等价类划分方法一.方法简介1.定义是把所有可能的输入数据,即程序的输入域划分成若干部分（子集）,然后从每一个子集中选取少数具有代表性的数据作为测试用例。该方法是一种重要的,常用的黑盒测试用例设计方法。2.划... 查看详情

粤嵌java培训第一天笔记-java基础概念

一、二进制数　　1、最高位为0，表示正数；最高位为1，表示负数。　　2、相应的负数与正数之间进行转换方式：通过补码方式进行转换，即：取反再加1。　　　　例如：00000001表示+1；通过对00000001取反后得：11111110，再对11111... 查看详情

软件培训第8天

       上午时间将Javascript的部分内容了解了一下，并且也进行了按钮的练习测试，包括弹窗变色，修改的值数等。Javascript内容是非常的多，也是实现网页大部分结构所必需的。梳理下上午所整理的学习... 查看详情

软件测试培训第20天

Oracle安装配置设置四个账户及对应的密码：sys(change_on_install)system(manager)scott(tiger)sh(sh)sqlplusSqlPlus命令首先在windows下打开cmd命令窗口。sqlplus回车，输入用户和口令示例：切换到scott用户conn scott/tigersetlinesize300–表示设置行的尺... 查看详情

软件测试培训第7天

       今天一天也是快节奏的在讲解CSS结构，CSS的内容分开讲来操作的话是比较简单，但其难就难在内容非常多，需要每天不断地练习来记住每一个用法。一天CSS已经全部讲解完，进度是非常的快，然而... 查看详情

javascript2017年aoc-第2天(代码片段)

查看详情

软件测试培训第11天

.     今天的内容通过传输过一些Linux系统上的软件在linux环境下进行安装，由于安装内容和操作都相对庞大所以安装过程中出现了不少问题导致安装进度非常缓慢，最终在临放学之际老师带领着我们从头开始将... 查看详情

100天精通andriod逆向——第5天：app逆向流程简介(代码片段)

...的加密字段2.2查壳分析是否有加固2.3查看界面元素2.4关键代码定位2.4.1传统定位方法2.4.2关键代码快速定位2.4.2.1Hook可以用来做什么2.4.2.2HooK之FridaHook环境搭建2.4.2.2.1Python3.864位的下载和安装2.4.2.2.2frida的安装2. 查看详情

软件测试培训第4天

      继昨天的Mysql数据库的部分查询系统之后，今天则把软件测试中用到的查询命令全部学完，分别是高级查询中的连接查询，联合查询，以及相关子查询。高级查询要比昨天所学的查询复杂不少，命令也... 查看详情