网页bug怎么都测不出来?赶紧进来看看吧

1951 篇文章 51 订阅
725 篇文章 1 订阅

在这里插入图片描述

随着5G时代的来临,很多企业的业务发展都越来越离不开互联网了。比如,新年的集五福活动,每年电商巨头的618、双十一、双十二大促活动,亦或者休闲游戏,食品零售等等,无一不在互联网的生态圈之中。

也正是越来越多人成为了互联网的一员,很多黑客为了给自己谋利,便通过攻击网页服务器等方式,截获他人信息。攻击的方式也非常多,常见的有SQL注入、跨站脚本攻击、跨站请求伪造、缓存区溢出等。

由此,一方面,我们需要加强网络安全建设,在网页搭建时,就对安全性方面做重点监控;另一方面,我们要充分认识网络bug有哪些,了解黑客可能的攻击点,提升自己的业务水平,方能协助开发人员,共同维护网络安全。

那么,日常生活中,常见的网络问题有哪些呢?今天我们就一起来探讨下。

01 SQL注入类问题

在Web安全测试中,SQL注入是最为常见的一种手段。主要是指攻击者通过巧妙的构建非法SQL查询命令,插入表单或请求字符串后提交,并根据返回的结果,来获得想要的数据。这就是SQL注入。

SQL注入的方法一般有猜测法和屏蔽法。猜测法主要是通过猜测数据库可能存在的表名和列名,根据组合的SQL语句获取数据表的信息。屏蔽法主要是利用SQL输入的不严谨进行逻辑验证,从而使得SQL验证结果始终为真,从而绕开验证的目的。

02 跨站脚本攻击问题

跨站脚本攻击(简称XSS),是一种迫使Web站点回显可执行代码的攻击技术。

当Web站点回显后,攻击者会重新提供可执行代码。一般情况下,他们会往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而攻击终端用户。

XSS最为常见的攻击方法为反射型XSS和存储型XSS。其中,反射型XSS,又称非持久型跨站点脚本攻击,也是最常见的XSS攻击方式。

而存储型XSS则不同。它是一种持久型跨站点脚本攻击,也是最直接危害用户的XSS。当攻击者在服务器中存储了攻击代码后,用户只要打开对应页面,就会触发XSS代码自动执行。

03 跨站请求伪造问题

跨站请求伪造(简称CSRF),是一种对网站的恶意利用。它通过伪装普通用户的请求,来利用受信任的网站。与XSS攻击相比,CSRF攻击往往因为不太流行而导致难以防范。所以,我们认为CSRF往往比XSS更具危险性。

04 缓存区溢出问题

缓冲区溢出是一种非常普遍存在的漏洞,广泛存在于各种操作系统、应用软件中。

利用缓冲区溢出攻击,可以导致程序出现运行失败、系统关机、重新启动等行为,或执行攻击者的指令,比如非法提升权限等。

在缓冲区溢出中,最为危险的就是堆栈溢出,它可以利用堆栈溢出,在函数返回时,将程序的地址修改为攻击者想要的任意地址,达到攻击者的目的。其最典型的例子,就是1988年利用fingerd漏洞进行攻击的蠕虫。

那么,解决这些页面攻击问题,有哪些可行的办法呢?

01 SQL注入类问题

对于猜测法和屏蔽法来说,它们是SQL注入最基础的、最简单的方法。在测试过程中,我们需要注意命名规则,以及对关键词的屏蔽等。另外,我们也需要在工作中,不断总结经验,更加深入的学习猜想法和屏蔽法等。

02 跨站脚本攻击问题

关于反射型XSS,一般只有我们自己点进链接,才能触发攻击者注入的XSS代码。这种方式的解决办法就是:慎点。

而存储型XSS则不同。这种XSS比较危险,容易产生蠕虫,盗窃用户Cookie等危害。在做这类问题测试时,一定要对程序的代码有一定的认知,尤其是要检查程序中的敏感符号,例如:“/、“.”、“’”、“‘”、“<”、“>”、“?”等。检查这些特殊字符是否存在违规使用,或检查是否存在数据库字段、数据库类型以及长度的限制等,未进行处理的情况发生。

03 跨站请求伪造问题

简单判断是否存在CSRF漏洞的方法,就是通过抓取正常请求的数据包,然后通过去掉Referer字段,再重新提交。如果二次提交还有效,说明存在CSRF漏洞。

为了防止CSRF,常用的方法就是在AJAX异步请求地址中,添加Token并进行验证,从而降低CSRF出现的可能。

04 缓存区溢出问题

事实上,造成缓冲区溢出的原因有很多。主要原因有对输入、输出的数据没有限制大小、长度以及格式等,还有就是对用户的特殊操作没有做异常处理导致。

所以,在测试过程中,我们需要注意输入输出的大小长度以及格式规范限制,还有需要多模拟一些异常,关注异常的处理情况。

写在最后

对Web应用软件来说,安全性包含Web服务器、数据库、操作系统以及网络的安全等,只要其中任何一个部分出现安全漏洞,都会导致整个系统的安全性问题。

Web安全测试是比较难解决的问题,这个取决于测试要达到什么程度。简单说软件不可能做到100%的测试,所以也不要期望可以达到100%的安全。

最后,也衷心希望我们的测试小达人们,能不断提升自己的业务水平,为互联网用户的隐私数据,做好保驾护航。

最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取 【保证100%免费】

在这里插入图片描述

 ​​​​软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。

在这里插入图片描述

在这里插入图片描述

  • 15
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
需求指的是对于软件或产品功能、性能、界面等方面的具体要求或期望,包括用户需求和系统需求两种。用户需求是指最终用户对产品的期望和要求,而系统需求是指开发团队根据用户需求提炼出来的功能、性能等方面的具体规格。 试用例是为了验证软件或产品功能是否按照需求进行开发而编写的试案例或试脚本。试用例包括对各种输入条件的验证和对应输出结果的判断,以及各种功能和场景下的验证操作,请在输入和输出符合预期的情况下进行。 bug指的是软件或产品中的错误、缺陷或故障。当软件无法按照预期功能运行或者功能不符合需求时,就可能出现bug。软件开发过程中,通过试发现的bug会被记录、报告和修复。 软件开发模型是指按照一定规范和流程进行软件开发的方式,常见的有瀑布模型、迭代模型、敏捷模型等。瀑布模型是一种传统的开发流程,按照需求分析、设计、编码、试和维护的顺序进行。迭代模型是一种重复循环的开发方式,每个迭代周期都会完成需求分析、设计、编码、试等步骤。敏捷模型是一种强调合作和迭代开发的方法,通过不断反馈和调整来满足用户需求。 试模型是指按照一定规范和流程进行软件试的方式,常见的有瀑布试模型、V模型、敏捷试模型等。瀑布试模型是按照瀑布模型进行试,将需求分析阶段的试结果作为后续试的基础。V模型则是在开发的各个阶段都有相应的试活动,试与开发对应。敏捷试模型则是在敏捷开发模式下进行试,强调即时反馈和快速响应的特点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值