项目安全测试问题记录

于 2024-08-30 09:45:46 发布
阅读量100 收藏
点赞数 2
分类专栏: 工作 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75705263/article/details/141705097
版权

问题1:项目最近要上线,需要走一遍安全测试,但是遇到一个问题就是我们业务需要释放用户的openid,但是在某些场景下又需要去使用openId传参,给安全测试老师钻了漏洞,通过抓包工具抓到其他人的openid,又在其他的接口中去改变参数从而获取到重要数据。

第一次解决:因为openid并不需要展示,所以把可能传出来的openid都查询不到了。

这种解决方案看似源头上解决了,但是不影响我事先知道openid,照样可以改变参数去获取到某些参数。另外在前端上也造成了展示判断场景异常。

所以,这一种方案失败 

 第二次解决:因为我们请求头里边有openid,参数如果是不是这个openid比对一下,不是就不给数据了。

还是不行,因为部署上去之后,安全测试老师还是给攻破了。因为请求头里边的东西也是可以更换的

所以,这一种方案失败 

  第三次解决:我们在请求头里边加入userId的密文,到服务解密(虽然最近解密那个烂片搞得心情不好,还是要提一嘴,真正的解密是很有意思的)找到相关的用户openid,比对header头部的openid和参数openid.

当然,这个方案是成功了,我画了一个逻辑图,如下:

问题2:数据任意提交--上送的信息漏了校验

问题是这样的,我们在某些场景下,需要搜集用户的某些数据,但是这些数据有些是非必传的,所以并没有对这些数据进行格式限制,属于马虎大意了,这个问题已经解决。

问题3:未授权访问 

这个问题就是一个历史的接口,没有token情况下获取相关的数据,加入token校验。

问题4:短信轰炸 

虽然客户端有了防抖,60秒的短信获取,但是安全测试老师还是通过手段大量获取,这个60秒前后端统一起来这个问题就解决了。也就是我们很多业务需要前后端同时去解决才可行。

 最近我们上线的项目比较多,后续进行新问题补充。。。

码路老默007
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IOS客户端、Android客户端安全性测试常见问题
心想事成
09-27 1783
记录了自己在客户端安全性测试中易遗忘的一些测试方法。
软件测试中WEB安全性测试
03-23
WEB软件测试中WEB安全性测试...一个完整的WEB安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等几个方面入手。 1、数据加密:
web平台安全测试方案
PengDQ12的博客
07-27 6491
收集测试的资料平台网页的URL,用户名以及密码(最好不是超级用户,可以测试越权),Web服务器的IP(可以提供服务器的远程登录账号,以便观察测试过程中对服务器的性能影响)。需要告知开发此次测试的时间,沟通好后才能进行安全测试,并且将测试的范围,方法和相关风险提前告知,及时做好相关数据代码、环境的备份。可以选择自定义,点击”完全扫描配置“可手动修改/自定义你的测试策略,自定义后,点击应用和确定,然后点击下一步。点击“报告”按钮,选择报告模板、报告内容、布局等内容(按照需求选择),点击“保存报告”按钮,...
渗透测试/安全测试面试问题汇总
weixin_38237216的博客
05-17 3289
Q1.HTTPS与HTTP的区别? https的端口是443,而http的端口是80 https协议需要到ca申请证书 http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。 Q2.IOS七层模型 第一层:物理层;主要功能:提供物理通路,二进制数据比特流传输、定义机械、电气特性和接口等。 第二层:数据链路层;主要功能:把不可靠信道变为可靠信道,将比特组织成帧,在链路上提供点到点的帧传输,差错检测、流量控制等 第三层:网络层
什么是安全测试
HONGTester的博客
05-28 1万+
安全测试概述,安全漏洞,安全测试特性,加密算法,安全测试常用工具
app如何进行安全测试
weixin_43886221的博客
04-02 2542
软件安全性测试是软件质量保证过程中的一个重要环节,其目的是为了发现、暴露和修复软件系统中可能存在的安全漏洞或弱点,确保系统在遭受恶意攻击时能够有效保护数据的机密性、完整性和可用性。在设计和执行软件安全性测试时,测试人员会模拟各种安全威胁和攻击场景,以验证软件在面临这些潜在风险时的安全防护能力。总之,在执行安全测试时,不仅要注重技术手段的有效性,还要充分考虑法律、伦理、风险管理等多个维度,确保整个测试过程既严谨又合规。软件安全性测试旨在确保软件产品的整体安全性,并为用户提供一个安全可靠的环境来使用和交互。
安全测试-Drozer安全测试框架实践记录
qq_34381178的博客
08-06 4706
二、环境部署一、Drozer简介Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。......
测试管理及项目测试流程
starry1441的博客
07-20 4825
基于需求 测试目标:量化指标;性能测试;需求分析 测试范围: 测试工具:兼容性测试:app,主流机型;性能测试-jmeter,loadrunner;接口测试:postman soupUI 写脚本 测试资源:人力资源;物力资源 测试计划:时间 测试策略:有限的时间,有限的资源要达到一个平衡,最终软件质量和测试所产生的风险之间的平衡。 需求分析: 功能性需求:登录、注册、查询。。。 非功能性需求:在功能性需求上增加一些限制,易用性,兼容性,可靠性,可移植性,安全性,性能 例如:登录:在高峰期,用户平均成功登录的
安全测试(初测)报告
qq_492448446的博客
10-13 1万+
安全测试(初测)报告 系统名称 版本号 V1.0 送测单位 送测时间 20XX年XX月XX日 复测时间 XXXX有限责任公司 20XX年XX月XX日 有效性声明 1、本测试报告封面及结论未盖章无效; 2、本测试报告需经审批和授权签字人签字,否则无效; 3、本测试报告应妥善保存,不得擅.
软件测试常见面试问题
热门推荐
李建国的博客
10-13 14万+
1.软件测试级别? 单元测试:单元测试是对软件组成单元进行测试。其目的是检验软件基本组成单位的正确性。测试的对象是软件设计的最小单位:模块。Findyou又称为模块测试,一个单元测试是用于判断某个特定条件(或者场景)下某个特定函数的行为。(测试内容:模块接口测试、局部数据结构测试、路径测试、错误处理测试、边界测试) 集成测试:(集成测试也称联合测试、组装测试,将程序模块采用适当的集成策略组装起...
web安全详解(渗透测试基础)
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
电气器具通电安全测试记录.doc
04-26
这份“电气器具通电安全测试记录.doc”文档详细记录了对电气设备进行通电安全检查的过程和结果,旨在防止因电气设备故障引发的安全事故,保障建筑内人员的生命财产安全。 首先,文档中的“编号”部分通常用于唯一...
项目实例】项目管理工具系统第三方安全测试报告.doc
11-07
项目实例】项目管理工具系统第三方安全测试报告 该文档是一份详细的安全测试报告,针对一个名为"项目全生命周期管理系统设计开发项目新版"的项目管理工具进行了深入的安全评估。测试由专业的信息安全实验室进行,...
TinyShop测试项目总结报告1
08-08
测试任务包括功能测试、性能测试、兼容性测试、安全测试和用户接受测试,确保系统稳定、高效且符合用户期望。 2.4 TinyShop 测试过程 测试过程中,运用了TestLink和Mantis等工具,设计了详细的测试用例,执行测试...
项目软件测试报告
05-07
测试结论是软件测试报告的重要组成部分,它总结了软件测试的结果,包括测试记录、缺陷修改记录、功能性、易用性、可靠性、兼容性、安全性等。 * 测试记录:软件测试的记录,包括测试的日期、测试的结果、测试的结论...
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 2280
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 2126
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
《深入理解 Java 中的适配器模式》
最新发布
面团到油条的成长日记
08-29 878
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
操作系统原子操作
zzt_is_me的博客
08-28 1164
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值