web安全手工测试---浏览器使用(实验原理及思路更重要)

最新推荐文章于 2022-03-22 10:06:10 发布
最新推荐文章于 2022-03-22 10:06:10 发布
阅读量834 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuy_uzhi/article/details/81022454
版权

1、火狐浏览器禁用JS:打开火狐--->about:config--->javascript.enabled--->切换成false;

2、两个例子

3、黑掉网站思路:发现漏洞、验证漏洞、利用漏洞、获取权限

           保护网站:发现漏洞、验证漏洞、思考原理及成因、修复漏洞

4、浏览器安全特性及设置:谷歌+火狐+IE(可导致同一个漏洞在不同浏览器触发效果不同,根据测试需要修改浏览器默认安全设置)

(1)谷歌:设置--高级--内容设置---JS及弹窗设置(XSS漏洞验证时使用,为了测试方便)或者针对某一个网站使用快捷按钮修改JS及弹窗设置。

  安全测试常用功能:

  1.清除缓存  开启隐身模式(不会记录浏览记录或cookie信息)或清除浏览历史记录

  2.查看网页源代码   鼠标右键或view-source+url

  3.查看DOM元素(为了了解CSS样式或JS脚本对元素的渲染效果,当form表单参数或分析下拉框如何实现时需要定位都没元素)

 4.查看网络数据包 网络请求信息 网络响应信息

 

(2)火狐:选项--隐私与安全--权限--弹窗设置(XSS漏洞验证)

(3)IE:internet选项--安全--自定义级别--启用/禁用XSS筛选器

5、安全测试常用功能:

liuy_uzhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web浏览器播放http-flv协议的视频流
07-26
HTTP-FLV是一种常见的实时流媒体协议,常用于在Web浏览器中播放视频内容。这个项目显然是为了演示如何在Tomcat服务器上部署一个服务,以便通过HTTP-FLV协议向...理解这些知识点对于开发和维护Web视频流服务至关重要
Web手工测试-安享智慧理财项目实战
最新发布
m0_55067373的博客
04-25 1620
熟悉借款和投资的流程操作,绘制借款和投资的流程图项目介绍文字:项目是用来干嘛的项目主要用户和角色项目核心业务和模块有哪些项目技术实现方式。
如何判断网站使用的操作系统
PureNight_的博客
03-22 5611
方法一 1、查看网站使用的操作系统的方法打开。www.netcraft.com 2、打开网站之后,在主页的搜索中输入需要查询的网站点击搜索 3、比如要查腾讯使用的网络 在“what’s that site running”中输入www.qq.com 搜索就会跳转,然后可以查看详细页面 方法二(1) 通过大小写判断网站服务器系统. ,通过修改url地址栏中的字母修改大小写,然后回车执行网站,查看是否能正常显示网页 window系统类服务器是不区分大小写的 linux系统则区分大小写 方法二(2) .
Web安全测试之XSS
weixin_34234829的博客
03-21 358
XSS 全称(Cross Site Scripting) 跨站脚本***, 是Web程序中最常见的漏洞。指***者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到***者的目的. 比如获取用户的Cookie,导航到恶意网站,携带***等。 作为测试人员,需要了解XSS的原理,***场景,如何修复。 才能有效...
Web安全测试(一)-手工安全测试方法&修改建议
热门推荐
li_liu10的博客
02-03 1万+
本文主要简述了Web类网站常见安全性问题,罗列简单手工测试方法及相关解决方法,结合部分网络资料及实际项目处理方法,希望给大家提供一定养份
web手工测试的经验总结
weixin_34395205的博客
07-10 583
前言   本文主要是阐述个人的web手工黑盒测试的工作经验   测试目的   测试并不仅仅是为了找出错误,通过分析错误产生的原因和错误的分布特征,可以帮助项目管理者(开发人员)发现当前所采用的软件过程的缺陷,以便改进;从而提高软件的质量,体现了测试重要性。   工作经历   1、工作环境介绍   09年3月刚入职,也是项目初建阶段,项目组6个人在一个...
simple-test-runner:使用Web组件模拟在浏览器中运行单元测试
02-06
简单测试运行器一个测试运行程序,用于在浏览器中在其自己的iframe中运行每个测试文件。开始使用npm install --save @logicallyabstract/simple-test-runner npx simple-test-runner src/**/*.test.ts --debug 摩卡...
web-store-js:使用sessionStorage或localStorage在Web浏览器中存储数据JavaScript库
05-12
安装只需抓取或并将其包含在脚本标签中即可。用法 < script src =" web-store.min.js " > </ script >支持的浏览器在谷歌浏览器测试兼容性web-store-js与Ext JS 6客户端代理兼容: 和 。
stealth:隐形-安全,对等,私有和自动化的Web浏览器
05-12
隐形-安全,对等,私有和自动化的Web浏览器/刮板/代理 Tholian:registered:Stealth是用于Web知识的自动化Web浏览器。 它的设计目标是提高隐私性,提高自动化程度,自适应语义理解和有效的带宽使用率,而无论其成本...
mediaRecorder-webSocket-mediaSource:浏览器浏览器通过Web套接字进行的实时视频聊天测试
05-23
mediaRecorder-webSocket-mediaSource描述无需WebRTC的浏览器浏览器视频聊天测试。 如何使用Web套接字服务器实时发送和接收数据。 整个过程将是这样的: 使用getUserMedia获取媒体流以访问本地计算机上的网络...
网页浏览器+实验报告
05-22
实验制作一个基于WebBrowser件的浏览器,输入网址后,可以浏览对应的网页。也可在搜查栏进行搜索的多标签浏览器,可以进行网页保存,网页前进和后退以及刷新等基本功能,也可以查看网页源码以及收藏网页。
Web安全实践实验
restart-llyang的博客
06-22 1733
Web安全实践实验 一、网站加密过程简介 CA(Certificate Authority) 加密 网站 步骤: 1.CA给浏览器厂商发公钥 2.阿里把公钥给CA,CA用自己的私钥加密阿里的公钥,返回给阿里 3.用户用浏览器访问阿里的网站,阿里把用CA的私钥加密过的自己的公钥给用户 4.用户用浏览器中的CA公钥解密阿里公钥,正确配对则信任访问的网站...
手工测试最适合初学者
明月如霜丶
08-02 5426
1.手工测试是什么? 手工测试是一种软件测试,手工测试人员执行测试用例不使用任何自动化工具,俗称点点点。 手工测试是最原始的测试类型,帮助发现软件系统的缺陷。 任何新应用程序必须手动测试测试可以自动执行。手工测试需要多的努力,但是有必要检查自动化可行性。 手工测试不需要任何测试工具的知识。 软件测试的基本之一是“100%自动化是不可能的”。 这使得手工测试命令。 手工测试的目标 ...
Web 手工测试
08-21 296
day 1 学习目标: 熟练搭建本地测试环境 掌握熟悉项目的步骤和内容 掌握项目基本的测试流程 基础环境介绍: 项目环境的组成部分: 操作系统 windows win7 win10 Linux Centos 6.x,7.x Redhat 6.x,7.x Ubuntu 14.z,16.x,18.x Mac web 服务器 apache: 稳定,文档齐全 默认监听端口:8...
手工安全测试
qq_41813092的博客
04-13 275
手工安全测试 文件上传 文件大小限制 .exe,.py的文件名 文件名中含有特殊字符 输入校验 空值校验(NULL,null,0x0d 0x0a) 输入html和JavaScript验证 (1)输入<html”>”gfhd</html>,看是否出错 (2)输入<input type=”text” name=”user”/>,看是否出现文本框 (3)输入<script type=”text/javascript”>alert(“提示”)</scri
浏览器中JavaScript执行原理
weixin_30367543的博客
10-26 365
本章我们讨论javascript在浏览器中是如果工作的,包括:下载、解析、执行的全过程。javascript的这些讨人嫌的地方我们是知道的: i.需要串行下载 ii.需要解析 iii.需要串行执行 而在chrchromium中,js是这样解析的:(其实第一章末尾已经有了) 至于一些步骤的解释,这里就不再复述了,不懂的请戳:浏览器渲染过程拉至末尾。 简直就是大魔王有木有?心中可有一...
MS11-050 IE内存破坏尝试漏洞分析笔记(二)
Hanxinyi930702的博客
10-10 353
前面分析过程遇到了一些问题,比如在最后中断在异常处发现对象大小和前面分配不符,后来在win7 32位下调试没有出现这种问题,下面是 win7 32位下的调试过程: 同样下断 0:013> x mshtml!CObjectElement::`vftable' 694e3dd8 mshtml!CObjectElement::`vftable' = <no type i...
渗透测试用例、安全手工测试用例
06-01
"该文档提供了安全手工测试用例,涵盖了渗透测试中的多个关键领域,包括身份鉴别、登录制、权限管理、越权测试、SQL注入、跨站点脚本(XSS)、文件上传、跨站点请求伪造(CSRF)等常见Web应用安全漏洞的测试方法。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值