Search Skills
Search across 54932 indexed skills
bio-population-genetics-association-testing
GWAS analysis using PLINK 2.0's unified --glm command for case-control and quantitative traits. plink2 --bfile data --glm --out results plink2 --bfile...
bio-experimental-design-multiple-testing
Testing 20,000 genes at p < 0.05 yields 1,000 false positives by chance. Correction is essential. padj <- p.adjust(pvalues, method = 'bonferroni') pad...
mobile-app-security-testing
移动应用安全测试是确保移动应用安全性的重要环节。本技能提供移动应用安全测试的方法、工具和最佳实践,涵盖Android和iOS平台。 检查项目: 代码混淆 反编译防护 调试防护 证书绑定 检查项目: 数据加密 密钥管理 敏感数据存储 数据传输 检查项目: 认证机制 Token管理 生物识别 会话管理 ...
sql-injection-testing
SQL注入是一种常见且危险的Web应用漏洞。本技能提供了系统化的SQL注入测试方法、检测技术和利用策略。 识别所有用户输入点:URL参数、POST数据、HTTP头、Cookie等 重点关注:id、search、filter、sort等参数 使用Burp Suite或类似工具拦截和修改请求 单引号测试...
xpath-injection-testing
XPath注入是一种类似于SQL注入的漏洞,利用XPath查询语句的构造缺陷,可能导致信息泄露、认证绕过等。本技能提供XPath注入的检测、利用和防护方法。 应用程序将用户输入直接拼接到XPath查询语句中,未进行充分验证和过滤,导致攻击者可以修改查询逻辑。 危险代码示例: String xpath...
ldap-injection-testing
LDAP注入是一种类似于SQL注入的漏洞,利用LDAP查询语句的构造缺陷,可能导致信息泄露、权限绕过等。本技能提供LDAP注入的检测、利用和防护方法。 应用程序将用户输入直接拼接到LDAP查询语句中,未进行充分验证和过滤,导致攻击者可以修改查询逻辑。 危险代码示例: String filter = ...
api-security-testing
API安全测试是确保API接口安全性的重要环节。本技能提供API安全测试的方法、工具和最佳实践。 测试项目: Token有效性验证 Token过期处理 权限控制 角色权限验证 测试项目: 参数类型验证 数据长度限制 特殊字符处理 SQL注入防护 XSS防护 测试项目: 工作流验证 状态转换 并发控制...
network-penetration-testing
网络渗透测试是评估网络基础设施安全性的重要环节。本技能提供网络渗透测试的方法、工具和最佳实践。 检查项目: 网络拓扑 主机发现 端口扫描 服务识别 检查项目: 系统漏洞 服务漏洞 配置错误 弱密码 检查项目: 远程代码执行 权限提升 横向移动 持久化 使用Nmap: nmap -sn 192.168...
command-injection-testing
命令注入是一种通过应用程序执行系统命令的漏洞。当应用程序将用户输入直接传递给系统命令时,攻击者可以执行任意命令。本技能提供命令注入的检测、利用和防护方法。 应用程序调用系统命令时,未对用户输入进行充分验证和过滤,导致攻击者可以注入额外的命令。 危险代码示例: // PHP system("ping ...
business-logic-testing
业务逻辑漏洞是应用程序在业务处理流程中的设计缺陷,可能导致未授权操作、数据篡改、资金损失等。本技能提供业务逻辑漏洞的检测、利用和防护方法。 跳过验证步骤: 直接访问最终步骤 修改步骤顺序 重复执行步骤 负数价格: 输入负数金额 导致账户余额增加 价格篡改: 修改前端价格 修改API请求中的价格 负数...
container-security-testing
容器安全测试是确保容器化应用安全性的重要环节。本技能提供容器安全测试的方法、工具和最佳实践,涵盖Docker、Kubernetes等容器技术。 检查项目: 基础镜像漏洞 依赖包漏洞 镜像配置 敏感信息 检查项目: 容器权限 资源限制 网络隔离 文件系统 检查项目: Kubernetes配置 服务账户...
file-upload-testing
文件上传功能是Web应用常见功能,但存在多种安全风险。本技能提供文件上传漏洞的检测、利用和防护方法。 仅前端验证: // 可被绕过 if (!file.name.endsWith('.jpg')) { alert('只允许上传图片'); 仅检查扩展名: // 危险代码 if (pathinfo($F...