国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

WEB安全測試通常要考慮的測試點

2年前作者:程序員曦曦分類:Toy博客閱讀(18)違法舉報

這篇具有很好參考價值的文章主要介紹了WEB安全測試通常要考慮的測試點。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

1、問題:沒有被驗證的輸入
測試方法:

數(shù)據(jù)類型(字符串,整型,實數(shù),等)
允許的字符集

最小和最大的長度
是否允許空輸入
參數(shù)是否是必須的
重復是否允許
數(shù)值范圍
特定的值(枚舉型)
特定的模式(正則表達式)

2、問題:有問題的訪問控制

測試方法:

主要用于需要驗證用戶身份以及權(quán)限的頁面,復制該頁面的url地址,關(guān)閉該頁面以后,查看是否可以直接進入該復制好的地址
例:從一個頁面鏈到另一個頁面的間隙可以看到URL地址
直接輸入該地址,可以看到自己沒有權(quán)限的頁面信息,

3、錯誤的認證和會話管理

例:對Grid、Label、Tree view類的輸入框未作驗證,輸入的內(nèi)容會按照html語法解析出來

4、緩沖區(qū)溢出

沒有加密關(guān)鍵數(shù)據(jù)

例:view-source:http地址可以查看源代碼

在頁面輸入密碼,頁面顯示的是 *****, 右鍵,查看源文件就可以看見剛才輸入的密碼,

5、拒絕服務

分析:攻擊者可以從一個主機產(chǎn)生足夠多的流量來耗盡狠多應用程序,最終使程序陷入癱瘓。需要做負載均衡來對付。

6、不安全的配置管理

分析:Config中的鏈接字符串以及用戶信息,郵件,數(shù)據(jù)存儲信息都需要加以保護

程序員應該作的: 配置所有的安全機制,關(guān)掉所有不使用的服務,設置角色權(quán)限帳號,使用日志和警報。

分析:用戶使用緩沖區(qū)溢出來破壞web應用程序的棧,通過發(fā)送特別編寫的代碼到web程序中,攻擊者可以讓web應用程序來執(zhí)行任意代碼。

7、注入式漏洞

例:一個驗證用戶登陸的頁面,

如果使用的sql語句為:

Select * from table A where username=’’ + username+’’ and pass word ……

Sql 輸入 ‘ or 1=1 ―― 就可以不輸入任何password進行攻擊

或者是半角狀態(tài)下的用戶名與密碼均為:‘or’‘=’

8、不恰當?shù)漠惓L幚?/strong>

分析:程序在拋出異常的時候給出了比較詳細的內(nèi)部錯誤信息,暴露了不應該顯示的執(zhí)行細節(jié),網(wǎng)站存在潛在漏洞,

9、不安全的存儲

分析:帳號列表:系統(tǒng)不應該允許用戶瀏覽到網(wǎng)站所有的帳號,如果必須要一個用戶列表,推薦使用某種形式的假名(屏幕名)來指向?qū)嶋H的帳號。

瀏覽器緩存:認證和會話數(shù)據(jù)不應該作為GET的一部分來發(fā)送,應該使用POST,

10、問題:跨站腳本(XSS)

分析:攻擊者使用跨站腳本來發(fā)送惡意代碼給沒有發(fā)覺的用戶,竊取他機器上的任意資料

測試方法:

? HTML標簽:<…>…</…>

? 轉(zhuǎn)義字符:&(&);<(<);>(>); (空格) ;

? 腳本語言:

? 特殊字符:‘ ’ < > /

? 最小和最大的長度

? 是否允許空輸入

? ? ? ? ? 【下面是我整理的2023年最全的軟件測試工程師學習知識架構(gòu)體系圖】

一、Python編程入門到精通

二、接口自動化項目實戰(zhàn)??

WEB安全測試通常要考慮的測試點,自動化測試,軟件測試,技術(shù)分享,web安全,網(wǎng)絡,安全,軟件測試,程序人生

三、Web自動化項目實戰(zhàn)

四、App自動化項目實戰(zhàn)?

WEB安全測試通常要考慮的測試點,自動化測試,軟件測試,技術(shù)分享,web安全,網(wǎng)絡,安全,軟件測試,程序人生

五、一線大廠簡歷

六、測試開發(fā)DevOps體系?

WEB安全測試通常要考慮的測試點,自動化測試,軟件測試,技術(shù)分享,web安全,網(wǎng)絡,安全,軟件測試,程序人生

七、常用自動化測試工具

八、JMeter性能測試?

WEB安全測試通常要考慮的測試點,自動化測試,軟件測試,技術(shù)分享,web安全,網(wǎng)絡,安全,軟件測試,程序人生

九、總結(jié)(尾部小驚喜)

生命不息,奮斗不止。每一份努力都不會被辜負,只要堅持不懈,終究會有回報。珍惜時間,追求夢想。不忘初心,砥礪前行。你的未來,由你掌握!

生命短暫,時間寶貴,我們無法預知未來會發(fā)生什么,但我們可以掌握當下。珍惜每一天,努力奮斗,讓自己變得更加強大和優(yōu)秀。堅定信念,執(zhí)著追求,成功終將屬于你!

只有不斷地挑戰(zhàn)自己,才能不斷地超越自己。堅持追求夢想,勇敢前行,你就會發(fā)現(xiàn)奮斗的過程是如此美好而值得。相信自己,你一定可以做到!文章來源地址http://www.zghlxwxcb.cn/news/detail-607294.html

到了這里,關(guān)于WEB安全測試通常要考慮的測試點的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關(guān)法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領支付寶紅包贊助服務器費用

相關(guān)文章

  • 軟件測試/測試開發(fā)丨Selenium Web自動化多瀏覽器處理

    軟件測試/測試開發(fā)丨Selenium Web自動化多瀏覽器處理

    本文為霍格沃茲測試開發(fā)學社學員學習筆記分享 原文鏈接:https://ceshiren.com/t/topic/27185 用戶使用的瀏覽器(firefox,chrome,IE 等) web 應用應該能在任何瀏覽器上正常的工作,這樣能吸引更多的用戶來使用 是跨不同瀏覽器組合驗證網(wǎng)站或 web 應用程序功能的過程 是兼容性測試的一個

    2024年02月09日
    瀏覽(28)
  • 2023軟件測試工具大全(自動化、接口、性能、安全、測試管理)

    2023軟件測試工具大全(自動化、接口、性能、安全、測試管理)

    目錄 前言 一、自動化測試工具 Selenium Appium TestComplete 二、接口測試工具 Postman SoapUI JMeter 三、性能測試工具 LoadRunner JMeter Gatling 四、安全測試工具 Burp Suite OWASP ZAP Nmap 五、測試管理工具 TestRail JIRA TestLink 總結(jié) 軟件測試是保障軟件質(zhì)量的重要環(huán)節(jié),而現(xiàn)代化的軟件開發(fā)過程中

    2024年02月16日
    瀏覽(31)
  • 【軟件測試/自動化測試】WebDriver+Selenium實現(xiàn)瀏覽器自動化

    【軟件測試/自動化測試】WebDriver+Selenium實現(xiàn)瀏覽器自動化

    前言 使用場景 原理 環(huán)境準備 ?開發(fā) First Script WebDriver API 瀏覽器 元素 總結(jié) Selenium是一款可以自動化操作瀏覽器的開源項目,最初的目的是瀏覽器功能的自動化測試,但是隨著項目的發(fā)展,人們根據(jù)它的特性也用來做一些更多的有意思的功能而不僅僅是UI的自動化測試工具。

    2024年02月08日
    瀏覽(64)
  • 自動化測試 ——自動卸載軟件

    自動化測試 ——自動卸載軟件

    在平常的測試工作中,經(jīng)常要安裝軟件,卸載軟件, 即繁瑣又累。 安裝和卸載完全可以做成自動化。 安裝軟件我們可以通過自動化框架,自動點擊Next,來自動安裝。 卸載軟件我們可以通過msiexec命令行工具自動化卸載軟件 平常我們手動卸載軟件都是到控制面板中的\\\"添加/刪除

    2024年02月08日
    瀏覽(27)

  • 軟件測試 -- 自動化測試(Selenium)

    ????????在這里記錄一下? 自動化測試 -- Selenium 的一些基礎知識點,只記錄方法。 Selenium 瀏覽器操作 Selenium 元素定位(包含 Web 表單) findElement 和 findElements ????????findElement 和 findElements 都可以用于定位元素,它們都需要傳入一個 By 類型,但是他們的返回值不同,區(qū)

    2024年04月22日
    瀏覽(56)
  • 【軟件測試】自動化測試selenium

    【軟件測試】自動化測試selenium

    目錄 一、什么是自動化測試 二、Selenium介紹 1、Selenium是什么 2、Selenium的原理 三、了解Selenium的常用API 1、webDriver API?? 1.1、元素定位 1.1.1、CSS選擇器 1.1.2、Xpath元素定位 1.1.3、面試題 ?1.2、操作測試對象 1.3、添加等待? 1.4、打印信息 ?1.5、瀏覽器的操作 1.6、鍵盤事件 1.7、鼠

    2024年01月17日
    瀏覽(27)
  • 軟件測試 自動化測試selenium篇(一)

    軟件測試 自動化測試selenium篇(一)

    目錄 一、什么是自動化測試 ?單元測試 ?接口自動化 ?UI自動化 二、如何實施自動化測試 ?自動化測試需要了解的技能 三、selenium介紹 webdriver的工作原理: ?四、Selenium+Java環(huán)境搭建 ? ? ? ? ? ? ? ? ? ?驗證環(huán)境是否搭建成功 創(chuàng)建java項目,添加pom文件中添加依賴 常見問題

    2024年02月07日
    瀏覽(37)
  • 軟件測試 自動化測試selenium API

    軟件測試 自動化測試selenium API

    1.1.1 CSS 選擇器定位元素 CSS 選擇器 就是一個語法 瀏覽器 (ctrl + f)可以進行選擇 類選擇器:.class值(.s_ipt) id 選擇器:#id值(#kw) 父類選擇器 子類選擇器:父類選擇器表達式 子類選擇器表達式 標簽選擇器:標簽名(form) 1.1.2 XPath 定位元素 XPath 是一種在XML 文檔中定位元

    2024年04月28日
    瀏覽(34)
  • 【軟件測試】python+selenium自動化測試

    【軟件測試】python+selenium自動化測試

    一、什么是自動化測試 自動化測試指軟件測試的自動化,在預設狀態(tài)下運行應用程序或者系統(tǒng),預設條件包括正常和異常,最 后評估運行結(jié)果。將人為驅(qū)動的測試行為轉(zhuǎn)化為機器執(zhí)行的過程。 單元測試 java的單元測試框架是Junit,在這里不再贅述。 接口自動化 接口測試就是

    2023年04月09日
    瀏覽(34)
  • 【軟件測試】基于博客系統(tǒng)的自動化測試

    【軟件測試】基于博客系統(tǒng)的自動化測試

    目錄 1.我的博客系統(tǒng)鏈接 2.使用selenium對博客系統(tǒng)進行自動化測試 1.引入依賴 2.創(chuàng)建公共類 3.創(chuàng)建測試套件類 4.測試登陸界面 5. 測試博客列表頁 6.測試寫博客頁面 7.測試刪除博客 8.最終運行結(jié)果 用戶登錄 創(chuàng)建一個maven項目,在pop.xml中引入以下依賴 因為對每一個頁面進行測試

    2024年02月15日
    瀏覽(22)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領取紅包,優(yōu)惠每天領

二維碼1

領取紅包

二維碼2

領紅包