web安全手工测试---浏览器使用(实验原理及思路更重要)

最新推荐文章于 2024-06-04 16:25:14 发布
最新推荐文章于 2024-06-04 16:25:14 发布
阅读量835 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuy_uzhi/article/details/81022454
版权

1、火狐浏览器禁用JS:打开火狐--->about:config--->javascript.enabled--->切换成false;

2、两个例子

3、黑掉网站思路:发现漏洞、验证漏洞、利用漏洞、获取权限

           保护网站:发现漏洞、验证漏洞、思考原理及成因、修复漏洞

4、浏览器安全特性及设置:谷歌+火狐+IE(可导致同一个漏洞在不同浏览器触发效果不同,根据测试需要修改浏览器默认安全设置)

(1)谷歌:设置--高级--内容设置---JS及弹窗设置(XSS漏洞验证时使用,为了测试方便)或者针对某一个网站使用快捷按钮修改JS及弹窗设置。

  安全测试常用功能:

  1.清除缓存  开启隐身模式(不会记录浏览记录或cookie信息)或清除浏览历史记录

  2.查看网页源代码   鼠标右键或view-source+url

  3.查看DOM元素(为了了解CSS样式或JS脚本对元素的渲染效果,当form表单参数或分析下拉框如何实现时需要定位都没元素)

 4.查看网络数据包 网络请求信息 网络响应信息

 

(2)火狐:选项--隐私与安全--权限--弹窗设置(XSS漏洞验证)

(3)IE:internet选项--安全--自定义级别--启用/禁用XSS筛选器

5、安全测试常用功能:

liuy_uzhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web程序设计实验报告.doc
08-20
Web程序设计开发试验报告,期末要求的,提供给有需要的朋友吧。
如何判断网站使用的操作系统
PureNight_的博客
03-22 5654
方法一 1、查看网站使用的操作系统的方法打开。www.netcraft.com 2、打开网站之后,在主页的搜索中输入需要查询的网站点击搜索 3、比如要查腾讯使用的网络 在“what’s that site running”中输入www.qq.com 搜索就会跳转,然后可以查看详细页面 方法二(1) 通过大小写判断网站服务器系统. ,通过修改url地址栏中的字母修改大小写,然后回车执行网站,查看是否能正常显示网页 window系统类服务器是不区分大小写的 linux系统则区分大小写 方法二(2) .
web手工测试的经验总结
weixin_34395205的博客
07-10 586
前言   本文主要是阐述个人的web手工黑盒测试的工作经验   测试目的   测试并不仅仅是为了找出错误,通过分析错误产生的原因和错误的分布特征,可以帮助项目管理者(开发人员)发现当前所采用的软件过程的缺陷,以便改进;从而提高软件的质量,体现了测试重要性。   工作经历   1、工作环境介绍   09年3月刚入职,也是项目初建阶段,项目组6个人在一个...
手工测试转型 web 自动化测试需要懂得什么技能?
最新发布
m0_58026506的博客
06-04 1023
在软件开发过程中,测试是必不可少的环节,它用于验证系统的功能完整性、稳定性和质量。手工测试虽然能够发现一部分问题,但效率较低,且难以覆盖全面。因此,许多企业正逐渐转向自动化测试,以提高测试效率和准确性。本文将详细讨论手工测试转型为Web自动化测试需要掌握的技能。
安全测试浏览器入门(1)
giun的博客
03-06 728
·浏览器安全性特性 一、介绍chrome浏览器 1、如何修改安全设置? 常规设置步骤 快捷设置步骤 2、如何清除缓存 3、每一次都去清除缓存太麻烦了,可以使用隐身模式(无痕模式) 在功能菜单中选择新建无痕窗口即可 3、如何查看网页源代码呢? 4、如何查看DOM元素? F12直接打开下面的开发者工具栏 5、如何查看网络数据包 二、介绍火狐浏览器 火狐浏览器有个强大的插件库 ...
手工测试最适合初学者
明月如霜丶
08-02 5438
1.手工测试是什么? 手工测试是一种软件测试,手工测试人员执行测试用例不使用任何自动化工具,俗称点点点。 手工测试是最原始的测试类型,帮助发现软件系统的缺陷。 任何新应用程序必须手动测试测试可以自动执行。手工测试需要多的努力,但是有必要检查自动化可行性。 手工测试不需要任何测试工具的知识。 软件测试的基本之一是“100%自动化是不可能的”。 这使得手工测试命令。 手工测试的目标 ...
web浏览器播放http-flv协议的视频流
07-26
HTTP-FLV是一种常见的实时流媒体协议,常用于在Web浏览器中播放视频内容。这个项目显然是为了演示如何在Tomcat服务器上部署一个服务,以便通过HTTP-FLV协议向...理解这些知识点对于开发和维护Web视频流服务至关重要
simple-test-runner:使用Web组件模拟在浏览器中运行单元测试
02-06
简单测试运行器一个测试运行程序,用于在浏览器中在其自己的iframe中运行每个测试文件。开始使用npm install --save @logicallyabstract/simple-test-runner npx simple-test-runner src/**/*.test.ts --debug 摩卡...
ssh-keygen-web:在Web浏览器上生成ssh-keygen的密钥对
02-11
本文将深入探讨`ssh-keygen`的原理使用方法以及`ssh-keygen-web`项目,它允许用户在Web浏览器上生成SSH密钥对。 首先,让我们了解SSH密钥对的工作原理。SSH基于非对称加密技术,其中包含两个密钥:公钥和私钥。...
web-store-js:使用sessionStorage或localStorage在Web浏览器中存储数据JavaScript库
05-12
安装只需抓取或并将其包含在脚本标签中即可。用法 < script src =" web-store.min.js " > </ script >支持的浏览器在谷歌浏览器测试兼容性web-store-js与Ext JS 6客户端代理兼容: 和 。
mediaRecorder-webSocket-mediaSource:浏览器浏览器通过Web套接字进行的实时视频聊天测试
05-23
mediaRecorder-webSocket-mediaSource描述无需WebRTC的浏览器浏览器视频聊天测试。 如何使用Web套接字服务器实时发送和接收数据。 整个过程将是这样的: 使用getUserMedia获取媒体流以访问本地计算机上的网络...
Internet Explorer 已对此页面进行了修改,以帮助阻止跨站点脚本
wuxiangqian
05-05 5933
ie浏览器提示错误的原字样为: Internet Explorer 已对此页面进行了修改,以帮助阻止跨站点脚本! 问题所在环境: 浏览器: ie8+ 系统:winxp win7 vista post请求至其他域名站点(非本站点域名) 如果满足以上三点问题,我就大概可以确定你所发生的问题就是我这篇博文要解决的问题。 解决办法: 只需要在目标页面添加一个he...
Web 手工测试
08-21 300
day 1 学习目标: 熟练搭建本地测试环境 掌握熟悉项目的步骤和内容 掌握项目基本的测试流程 基础环境介绍: 项目环境的组成部分: 操作系统 windows win7 win10 Linux Centos 6.x,7.x Redhat 6.x,7.x Ubuntu 14.z,16.x,18.x Mac web 服务器 apache: 稳定,文档齐全 默认监听端口:8...
手工安全测试
qq_41813092的博客
04-13 277
手工安全测试 文件上传 文件大小限制 .exe,.py的文件名 文件名中含有特殊字符 输入校验 空值校验(NULL,null,0x0d 0x0a) 输入html和JavaScript验证 (1)输入<html”>”gfhd</html>,看是否出错 (2)输入<input type=”text” name=”user”/>,看是否出现文本框 (3)输入<script type=”text/javascript”>alert(“提示”)</scri
WEB应用开发设计实验报告一
j1018726071的博客
06-22 4188
课程名称 WEB应用开发设计 姓 名 玖十柒97 一.实验课题 Servlet的应用 二. 实验目的 1.使用Eclipse开发Servlet。 2.实现Servlet虚拟路径的映射。 三. 实验内容 1、完成课本92页任务3-1。 2、完成课本100页任务3-2。 3、阅读课本104页3.4节,并完成113页课后习题4。 四. 实验步骤 在以下表格中给出实验内容的相应代码。 3-1: package servlet_test; import java.io.IOExcept
解决“Internet Explorer已对此页面进行了修改,已帮助阻止跨站点脚本。”的“问题”...
weixin_33727510的博客
01-21 1726
最近一直对网络安全知识比较感兴趣,目前在看的书是网上推荐的《Web应用安全权威指南》。这本书提供下载一个虚拟机镜像,运行这个虚拟机可以在电脑浏览器上做书中的实验。 第66页涉及到一个XSS的实验,正常的效果是执行JavaScript,弹出一个对话框。我在照做的时候IE提示“Internet Explorer已对此页面进行了修改,已帮助阻止跨站点脚本。”(...
MS11-050 IE内存破坏尝试漏洞分析笔记(二)
Hanxinyi930702的博客
10-10 354
前面分析过程遇到了一些问题,比如在最后中断在异常处发现对象大小和前面分配不符,后来在win7 32位下调试没有出现这种问题,下面是 win7 32位下的调试过程: 同样下断 0:013> x mshtml!CObjectElement::`vftable' 694e3dd8 mshtml!CObjectElement::`vftable' = <no type i...
微软MS11-050漏洞的利用
我还在的博客
09-19 2609
微软MS11-050漏洞的利用0x00 前言0x01 环境搭建1. 虚拟机系统2. 拓扑结构0x02 利用过程1. 相互ping通2. 启动Metasploit3. 查找和MS11-050相关的模块4. 加载模块5. 设置所使用的payload6. 显示需要配置的选项7. 设置Web服务器的地址,应为BackTrack虚拟机的地址8. 目标主机被制后反弹的地址,应为BackTrack虚拟机的地址...
Web渗透测试怎么做:安全专家模拟黑客行为讲述了渗透测试原理
公众号【伤心的辣条】资料领取~
04-16 465
现在,随着企业信息化建设的开展,越来越多的重要数据会以电子媒介的形式存放,这在方便企业办公的同时,也造成了极大的安全隐患。近年来,随着APT攻击的蔓延,使得越来越多的企业遭受不可挽回的重大损失。一个偶然的机会,有幸邀请到了一家国外专门做web安全的公司来对自己的web系统做安全测试。4周下来,我与几位安全专家多次沟通,完成了对自己系统的威胁建模,渗透测试,白盒测试,一共发现了28个漏洞。经验宝贵,因此有必要好好总结下。 在目的明确、装备精良、经验丰富的“雇佣军”式的攻击者面前,传统的安全设备已显得力不从..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值