入门安全测试必须要知道的10个通用用例!

于 2024-04-28 15:34:48 发布
阅读量323 收藏 8
点赞数 5
分类专栏: 测试工程师 自动化测试 技术分享 文章标签: 压力测试 软件测试 jmeter 测试工具 appium 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_LanTian/article/details/138280326
版权

今天这里总结的是一些通用安全测试用例,但安全测试远不如此,这些用例只能算入门必备!

1、漏洞扫描

定义:对系统的URL进行漏洞扫描,扫描系统开放的端口、服务和存在的漏洞

2、明文传输

定义:对系统传输过程中的敏感内容是明文&密文进行检查

系统传输敏感信息场景:登录、注册、支付、修改密码

系统敏感信息:登录密码、支付金额、注册的手机号码、身份证、邮箱等信息

图片

3、越权访问

定义:测试能否通过URL地址获取管理员及其他用户信息

1)出现admin、user、system、pwd等敏感目录的URL地址

2)垂直越权场景:当系统存在多个不同权限的管理员时,低权限的管理员不能访问或操作到高权限的管理的资源

3)水平越权场景:当系统存在多个需要登录用户,A用户不能访问B用户的资源

图片

现在我也找了很多测试的朋友,做了一个分享技术的交流群,共享了很多我们收集的技术文档和视频教程。
如果你不想再体验自学时找不到资源,没人解答问题,坚持几天便放弃的感受
可以加入我们一起交流。而且还有很多在自动化,性能,安全,测试开发等等方面有一定建树的技术大牛
分享他们的经验,还会分享很多直播讲座和技术沙龙
可以免费学习!划重点!开源的!!!
qq群号:691998057【暗号:csdn999】

4、反射性跨站脚本

定义:测试系统是否对输入进行过滤或转移,规避用户通过跨站脚本攻击造成风险

跨站脚本攻击场景:搜索框、输入框、留言、上传文件

图片

5、越权文件下载

定义:测试URL中是否包含文件名或文件目录,尝试提交参数值查看是否可下载或读取其他目录的文件内容

文件下载场景:文件下载、文件读取功能

测试url:包含文件名或文件目录的url

图片

6、文件上传

定义:测试能否上传木马、病毒、色情图片等恶意图片

图片

7、短信、邮箱验证

定义:测试短信、邮箱验证方式是否进行安全设置

触发短信、邮箱验证码验证相关的场景:找回或重置密码、注册、邀请注册、引流活动分享

图片

8、鉴权缺失

定义:测试需要登录、鉴权才可操作的系统中可修改资源的相关接口,鉴权是否可靠

测试对象:可以修改资源的接口

图片

9、密码健壮性

定义:测试密码、验证码验证的方式是否可靠,是否可以被暴力猜测直至命中

图片

10、数据安全

定义:检查系统中敏感数据的存储是否安全

敏感数据:密码、身份证、家庭住址、银行卡号、手机号、真实姓名

图片

下面是配套资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!

最后: 可以在公众号:程序员小濠 ! 免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “点赞” “评论” “收藏” 一键三连哦!

 

测试界的彭于晏
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
性能测试从零开始:LoadRunner入门与提升
07-01
9.3 性能测试方案和用例设计(Analysis阶段) 268 9.4 性能测试各种度量的建立(Metrics阶段) 273 9.4.1 性能脚本的生成 273 9.4.2 定义用户行为 274 9.4.3 场景的设置与运行 274 9.4.4 计数器的设置与性能数据收集...
2023年最流行和热门的25个Python框架
par@ish的博客
09-19 1289
Python已经迅速成为最受欢迎的编程语言之一,这是因为它的简单性、多功能性和对学习该语言的人提供的丰富资源。
Pytest 教程:从 0 到 1 搭建 Pytest 接口自动化测试项目
m0_58026506的博客
03-06 508
从 0 到 1 搭建 Pytest 接口自动化测试项目、1.创建项目目录、mkdir Pytest-API-Testing-Demo、2.项目初始化 ​
Pytest自动化框架搭建
最新发布
ckckjsws的博客
03-14 1017
入职了一家小公司,需要从0开始搭建一个自动化测试环境,因为是测试板卡项目,所以需要使用串口连接工具pyserial,测试用例批量化执行工具pytest,测试报告自动生成工具allure,大家根据这三个关键词选择是否需要继续阅读
Python - python如何连接sql server数据库
热门推荐
Ainke
12-21 3万+
一、安装第三方模块 首先要下载名为"pymssql"的模块,然后import该模块 安装方法 :1.按win+r----> 输入cmd—>输入以下命令即可 pip install pymssql 2.打开pycharm,点击File,再点击settings,点击settings之后再点击project下面的project Interpreter,在界面中点击+号,直接搜索pymssql模块,直接安装即可。 二、连接数据库 import pymssql connect=pymssql.conn
pytest接口自动化测试框架搭建的全过程
软件测试技术交流分享
12-05 126
Pytest目前已经成为Python系自动化测试必学必备的一个框架,网上也有很多的文章讲述相关的知识。最近自己也抽时间梳理了一份pytest接口自动化测试框架,因此准备写文章记录一下,做到尽量简单通俗易懂,当然前提是基本的python基础已经掌握了。如果能够对新学习这个框架的同学起到一些帮助,那就更好了~
kompute:用于跨供应商显卡(AMD、高通、NVIDIA 和朋友)的通用 GPU 计算框架。 超快、支持移动、异步并针对高级 GPU 数据处理用例进行了优化
08-04
Vulkan 应用程序配合使用GPU 和主机内存所有权和内存管理的显式关系具有90% 单元测试代码覆盖率的健壮代码库机器学习的高级用例 :robot: , 移动开发 :mobile_phone: 和游戏开发 :video_game: . 入门您可以在下面找到...
python3.6.0入门指南(官方版)
11-29
也许你正在为这些类库编写测试用例,但是发现这是一个让人烦躁的工作。又或者你已经完成了一个可以使用扩展语言的程 序,但你并不想为此重新设计并实现一套全新的语言。 那么 Python 正是你所需要的语言。 虽然你...
花园:Kubernetes开发和测试的自动化。 加速生产型环境,以便按需进行开发,测试和CI。 在流程的每个步骤都使用相同的配置和工作流程。 通过共享结果缓存加速构建和测试运行
02-02
通过用于开发,测试,CI和共享构建与测试缓存的通用配置,快速且一致的CI管道。 在类似于生产的环境中进行集成测试,以捕获应用程序的完整配置。 通过类似于生产的预览环境进行手动质量检查和审阅,可以轻松地与...
起源主题:Swell的无头店面主题(测试版)
02-27
Origin是使用现代JavaScript和前端工具的在线商店通用渐进式Web应用程序。 它旨在作为参考示例和入门项目,用于构建由Swell支持的自定义店面。 注意:该项目处于测试阶段,将进行重大更改以支持Vue / Nuxt 3。 特征...
python 连接sql数据库
m0_46926492的博客
10-23 1575
【代码】python 连接sql数据库。
Python-Sqlalchemy(ORM数据库框架)
weixin_45203607的博客
10-19 3139
内存中的对象之间存在关联和继承关系,而在数据库中,关系数据无法直接表达多对多关联和继承关系。创建好了Engine的同时,Pool和Dialect也已经创建好了,但是此时并没有真正与数据库连接,等到执行具体的语句.connect()等时才会连接到数据库。会话就和打电话一样,打一次电话就是一个会话,就相当于和数据库交互一次就是一个会话,一个会话可以运行多个或单个语句,会话结束必须关闭。sqlalchemy中使用session用于创建程序和数据库之间的会话,所有对象的载入和保存都需要通过session对象。
以两分钟了解Python之SQLAlchemy框架的使用
weixin_43740011的博客
05-03 554
这就是SQLAlchemy的基本使用方法。使用SQLAlchemy可以帮助开发人员更轻松地管理数据库连接和操作数据。如果你还没有尝试过SQLAlchemy,现在就可以开始学习并尝试使用它来开发你的下一个Python应用程序。
自动化测试基础——Pytest测试框架
又菜又爱玩的小熊
03-04 1370
Pytest是一个成熟的全功能的Python测试工具Pytest是一个成熟的全功能的Python测试工具简单灵活易上手支持参数化支持简单的单元测试和复杂的功能测试,还可以用来做自动化测试具有很多第三方插件,并且可以自定义扩展测试用例的skip和xfail处理可以很好的和Jenkins集成支持运行由Nose、UnitTest编写的测试用例pytest主要做什么1.执行测试用例2.通过断言判断测试结果3.生成测试报告。
Pytest测试框架搭建需求及实现方案
MXB1220的博客
07-17 295
!我个人整理了我这几年软件测试生涯整理的一些技术资料,包含:电子书,简历模块,各种工作模板,面试宝典,自学项目等。欢迎大家点击下方名片免费领取,千万不要错过哦。
5分钟带你入门Pytest 自动化测试框架(超详细~)
07-27 141
Pytest和Unittest测试框架的区别?如何区分这两者,很简单unittest作为官方的测试框架,在测试方面更加基础,并且可以再次基础上进行二次开发,同时在用法上格式会更加复杂;而pytest框架作为第三方框架,方便的地方就在于使用更加灵活,并且能够对原有unittest风格的测试用例有很好的兼容性,同时在扩展上更加丰富,可通过扩展的插件增加使用的场景,比如一些并发测试等;
一个超方便使用SQL的Python神器
y1282037271的博客
01-13 245
其实一开始用的是pymysql,但是发现维护比较麻烦,还存在代码注入的风险,所以就干脆直接用ORM框架。 ORM即Object Relational Mapper,可以简单理解为数据库表和Python类之间的映射,通过操作Python类,可以间接操作数据库。
python常用库之数据库orm框架之SQLAlchemy
西京刀客
10-08 4649
SQLAlchemy是一个基于Python实现的SQL工具包和ORM框架,提供了高层抽象来管理数据库交互。
Pytest接口自动化测试框架搭建的全过程
m0_70669463的博客
12-26 1146
Pytest目前已经成为Python系自动化测试必学必备的一个框架,网上也有很多的文章讲述相关的知识。最近自己也抽时间梳理了一份pytest接口自动化测试框架,因此准备写文章记录一下,做到尽量简单通俗易懂,当然前提是基本的python基础已经掌握了。如果能够对新学习这个框架的同学起到一些帮助,那就更好了~
测试用例异常通用测试点
07-28
测试用例异常通用测试点通常包括以下几个方面: 1. 边界值测试:测试输入的边界值,包括最小值、最大值、临界值等。例如,如果一个函数要求输入一个整数,那么测试用例可以包括输入最小整数、最大整数、临界整数等。 2. 错误处理测试:测试系统对错误输入的处理能力,包括输入非法字符、输入为空、输入超出限制等情况。例如,如果一个函数要求输入一个日期,那么测试用例可以包括输入非法日期格式、输入不存在的日期等。 3. 异常情况测试:测试系统对异常情况的处理能力,包括网络异常、数据库异常、文件异常等。例如,如果一个函数需要连接数据库进行数据查询,那么测试用例可以包括数据库连接失败、查询语句错误等情况。 4. 异常流程测试:测试系统在异常流程下的处理能力,包括捕获异常、回滚操作、恢复系统状态等。例如,如果一个函数需要进行文件操作,那么测试用例可以包括文件不存在、文件权限不足等情况。 5. 性能测试:测试系统在高负载或大数据量情况下的性能表现。例如,如果一个函数需要处理大量数据,那么测试用例可以包括输入大数据量、并发访问等情况。 以上是一些常见的测试用例异常通用测试点,根据实际需求和系统特点,可以针对性地添加其他测试点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值