测试基线

最新推荐文章于 2024-04-11 20:06:58 发布
最新推荐文章于 2024-04-11 20:06:58 发布
阅读量954 收藏 1
点赞数
分类专栏: 知识 信息安全 文章标签: 渗透测试 信息安全 业务流程测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QL5211314/article/details/117093222
版权

测试基线

信息泄露
robotstxt泄漏敏感信息
敏感文件信息泄漏
过时的、用于备份的或者开发文件残留
报错页面敏感信息泄漏
物理路径泄漏
明文密码本地保存
入侵痕迹残留
HTTP头信息泄漏
目录浏览
默认页面泄漏
存在可访问的管理后台入口
存在可访问的管理控制台入口
参数溢出

信息猜解
账号枚举
账号密码共用
存在弱口令
存在空口令
存在暴力破解
认证信息泄露
传输过程泄漏
密码前端保存

认证功能缺陷
OAuth认证缺陷
多点认证缺陷

会话管理缺陷
注销后会话未失效
会话固定

密码找回/修改漏洞
密码重置链接可预测
验证码可被穷举
session覆盖测试
凭证返回客户端
客户端校验绕过
用户账户参数修改
验证流程绕过

业务逻辑缺陷
负值反冲
正负值对冲
业务流程跳跃

业务功能滥用
短信定向转发
邮件可定向转发
业务接口调用缺陷
IMAP/SMTP注入
引用第三方不可控脚本/URL
开启危险接口
未验证的URL跳转
服务器端请求伪造(SSRF)
短信内容可控
邮件内容可控
请求重放攻击
批量提交

防护功能失效
账号弱锁定机制
图形验证码可自动获取
图形验证码绕过
短信验证码绕过
短信验证码可暴力破解
参数覆盖
关键逻辑判断前端验证

防护功能缺失
Cookie属性问题
会话失效时间过长

防护功能滥用
恶意锁定问题
短信炸弹
邮件炸弹

权限缺失
Flash 跨域访问
jsonp跨域请求
未授权访问

权限篡改
SSO认证缺陷
越权漏洞
Cookies 伪造
会话变量可控
跨站请求伪造(CSRF)
数据验证缺失
跨站脚本攻击(xSS)
FLASH跨站脚本攻击
HTTP响应分割
Host头攻击
SQL注入
NoSQL注入
LDAP注入
XML注入
XML外部实体注入(XXE)
XPATH注入
命令注入
任意文件上传
任意文件下载
文件包含漏洞
反序列化漏洞

专项漏洞
Web组件(SSL/WebDAV)漏洞
中间件相关漏洞
第三方应用相关漏洞
第三方插件相关漏洞

其它
HTTP参数污染
IP地址伪造
通配符注入
条件竞争漏洞
启用不安全的HTTP方法

ILKJ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySQL基线测试概念_MySQL基线测试
weixin_39648297的博客
02-03 1307
前言其实MySQL基线测试已经不是什么新鲜的话题了,这应该是作为DBA的基本的技能了。大家都知道使用一些工具去做(sysbench、tpcc-mysql、tpc-c等等)。本篇文章不是告诉你相关的工具具体怎么用,更不是告诉你工具输出的报告应该如何去看,这些在现在的互联网中一搜一大把。本篇文章告诉你的是一个流程,做一个测试我们需要做一些什么、如何提取我们需要的信息,并生成可视化报告。在之后的监控我们...
基准测试
weixin_45905671的博客
01-30 1653
什么是基准测试? 基准测试是一种测量和评估软件性能指标的活动用于建立某个时刻的性能基准,以便当系统发生软硬件变化时重新进行基准测试以评估变化对性能的影响。 基准测试是针对系统设置的一种压力测试 基准测试特点: 直接、简单、易于比较,用于评估服务器的处理能力 可能不关心业务逻辑,所使用的查询和业务的真实性可以和业务环境没关系 压力测试特点 对真实的业务数据进行测试,获得真实系统所能承受的压力 需要针...
系统基线及配置检查.rar
07-18
包括两个部分:1、linux和windows系统基线配置文档,2、linux基线检查脚本,生成检测结果。 经验积累,自用的
硬件测试用例参考(二)
07-13
硬件测试用例参考(二)
一篇文章让你搞懂性能测试6大类型及其关系!
最新发布
2301_81967703的博客
04-11 609
并发测试专注于系统在高并发用户活动下的行为和性能,验证系统能否同时处理多个用户的请求,确保数据的一致性和完整性不受高并发量的影响。3. 压力测试在负载测试的基础上进行,寻找系统的极限,并测试系统在负载超出预期时的行为。基线测试的结果通常用作其他性能测试结果的参考点,用于比较系统在不同负载下的性能变化。与负载测试不同,压力测试的目的是确定系统的极限负载能力和在负载超出预期时的行为。通过结合不同类型的性能测试,可以确保系统在各种条件下都能达到性能和稳定性的要求。
APP渗透测试基线案例
12-22
APP渗透测试基线案例
自动化测试
03-23
很长时间,一直都在做自动化相关的事情,包括测试框架,测试平台,以及持续集成等等。但是这些的基础还是依靠优秀的自动化测试代码,下面的内容就是自动化测试的相关知识点,相信大家可以从这些点中可以找到很多的共鸣,然后扩展,方便大家更好的深入学习。   很长时间,一直都在做自动化相关的事情,包括测试框架,测试平台,以及持续集成等等。但是这些的基础还是依靠优秀的自动化测试代码,下面的内容就是自动化测试的相关知识点,相信大家可以从这些点中可以找到很多的共鸣,然后扩展,方便大家更好的深入学习。   01一些测试理论   1.测试分类的三维模型:   以时间趋势为基线的分类,如系统测试,集成测试…   以测试
(原创)web安全-web安全测试基线V1.7.docx
01-01
本文档主要内容包括web安全测试的内容和具体办法指导,主要适用于测试工程师,测试负责人、运维人员和应用负责人。
IT功能测试基线
Lifeng666111的博客
11-13 116
9. 输入不符合格式的数据,检查程序是否正常校验,如,程序要求输入年月日格式为yy/mm/dd,实际输入yyyy/mm/dd,程序应该给出错误提示。2. 对非法的输入或操作给出足够的提示说明,如,输入月工作天数为32时,单击”确定“后系统应提示:天数不能大于31;如,“插入”数目为默认值,点击“确定”;1. 直接输入数字或用上下箭头控制,如,在“数目”中直接输入10,或者单击向上的箭头,使数目变为10;1. 要添加的数据项均合理,检查数据库中是否添加了相应的数据,添加的数据每个字段都有响应的校验验证。
brainGraph基线测试
clancy_wu的博客
04-06 435
brainGraph做图论分析非常方便,远胜过gretna和BCT等软件。但是作者只对braingraph和BCT进行了基线测试,两者结果对比如下:可以说大部分是没有区别的。然而,作者没有对gretna进行测试,毕竟国内人写文章用gretna会稍微多一些。前两天我使用braingraph和gretna的结果对比了一下,发生了一些误会。
回归测试是什么?(基线版本、基线测试包、代码相依性、回归测试包、软件操作剖面)
Dontla的博客
05-04 1348
文章目录回归测试产生原因定义测试用例测试用例库的维护(1)、删除过时的测试用例(2)、改进不受控制的测试用例(3)、删除冗余的测试用例(4)、增添新的测试用例回归测试包的选择回归测试(1)、再测试全部用例(2)、基于风险选择测试(3)、基于操作剖面选择测试(4)、再测试修改的部分测试过程测试实践 回归测试 回归测试是指修改了旧代码后,重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误。自动回归测试将大幅降低系统测试、维护升级等阶段的成本。 回归测试作为软件生命周期的一个组成部分,在整个软件测试过程
测试基础
weixin_45486436的博客
09-08 217
文章目录一、计算机基础1.软件测试定义2.硬件系统3.软件系统B/S架构、C/S架构 一、计算机基础 1.软件测试定义 利用手工测试测试工具按测试方案和流程对产品进行功能和性能测试。 2.硬件系统 输入设备、输出设备、CPU、内存储器、外存储器 3.软件系统 系统软件: 桌面操作系统:Windows(用户群体大)、macos(程序员使用)、Linux(应用软件少) 服务器操作系统:Linu...
web渗透测试基线模版
12-22
web渗透测试基线模版
软件回归测试及其实践
想飞~ 的专栏
04-27 1527
摘要:本文描述了软件回归测试的概念和进行回归测试的基本步骤,介绍了可用于回归测试测试用例库的维护方法,给出了几种可以可保证回归测试效率和有效性的回归测试策略,总结了回归测试时应该注意的一些实际问题。 一、 概述 在软件生命周期中的任何一个阶段,只要软件发生了改变,就可能给该软件带来问题。软件的改变可能是源于发现了错误并做了修改,也有可能是因为在集成或维护阶段加入了新的模块。当软件中所含错误被发现
关于基线版本、基线那点事儿
热门推荐
lucky_girl11的博客
04-13 3万+
直到现在,就是此时此刻仍然不知道基线版本、基线是个什么概念,但是仍然想记录一下。不知道哪一天就会明白,但是肯定是随着工作的深入能理解的,嘿嘿,不多说,记录。 1、“基线”是一个很常见的术语,在配置管理和项目管理里面都能看到,而且还有很多衍生的术语,例如基线提升、基线化、基线审计,等。 现在我觉得我们通常看到的“基线”这个术语有两个意思:  1)代表多个源代码文件的一组版本。 比如有三个文件
功能测试中的性能分析及性能基线
@槽神刘叫兽
09-27 6455
系统测试包含系统功能测试和性能测试,大部分人习惯于把性能测试全部剥离出去,交由性能测试工程师去实施独立的性能测试。实际上性能测试工程师对系统业务特征的了解可能远不如系统功能测试人员,他们在系能指标分析定义、测试覆盖定义、测试数据选取等工作上离不开系统功能测试人员的大力支持。其实我们可以在系统功能测试过程中提前把部分系统性能测试的工作掺杂进去,尽早解决性能问题,这样也能从一定程度上提高系统功能测试
web应用安全测试之信息泄露
千寻的博客
12-07 7312
文章目录robots.txt泄漏敏感信息漏洞描述测试方法:风险分析:风险等级:修复方案:可根据实际情况,进行如下对应的修复:敏感文件信息泄漏漏洞描述:测试方法:风险分析:风险等级:修复方案:过时的、用于备份的或者开发文件残留漏洞描述测试方法:风险分析风险等级修复方案:报错页面敏感信息泄漏漏洞描述测试方法:风险分析风险等级:修复方案:物理路径泄漏漏洞描述测试方法:风险分析风险等级:修复方案:明文密码本地保存漏洞描述测试方法:风险分析风险等级:修复方案入侵痕迹残留漏洞描述测试方法风险分析风险等级:修复方案HTT
Ceph:网络性能基线测试
weixin_34356138的博客
11-07 387
#一、带宽基线测试: iperf是一个网络性能测试工具。Iperf可以测试TCP和UDP带宽质量。iperf可以测量最大TCP带宽,具有多种参数和UDP特性。 Iperf可以报告带宽,延迟抖动和数据包丢失。 #二、测试方法: 启动网络性能基准测试,在第一个Ceph节点上执行iperf服务端选项,在第二个Ceph节点上执行客户端选项。 #三、操作方法: ...
IoT的渗透测试基线检查方法
06-09
针对IoT设备的渗透测试基线检查方法可以包括以下几个方面: 1. 系统漏洞扫描:使用漏洞扫描工具对设备及其相关网络进行全面扫描,寻找已知漏洞。 2. 无线网络安全检查:检查设备是否存在无线网络连接,并对无线网络进行渗透测试,寻找可能的攻击漏洞。 3. 认证和授权测试测试设备是否可以被未经授权的用户访问,以及是否存在弱认证和授权机制。 4. 硬件安全测试测试设备是否存在硬件级别的漏洞,如JTAG接口、串口等。 5. 应用程序安全测试测试设备上运行的应用程序是否存在安全漏洞,如缓冲区溢出、SQL注入等。 6. 数据存储安全测试测试设备上的数据是否受到适当的保护,如加密、访问控制等。 7. 物理安全测试测试设备是否容易受到物理攻击,如破坏、偷窃等。 总之,IoT设备的渗透测试基线检查方法需要综合考虑设备的软硬件特性以及其所处的网络环境,以确保设备的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ILKJ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值