XSS和sql注入部分场景测试用例样例

最新推荐文章于 2024-10-09 21:23:37 发布
最新推荐文章于 2024-10-09 21:23:37 发布
阅读量676 收藏 7
点赞数 4
分类专栏: 测试 文章标签: xss sql 测试用例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37570494/article/details/141996498
版权

目录

1. SQL 注入测试用例设计

基本 SQL 注入

复杂 SQL 注入

盲注测试

2. XSS 攻击测试用例设计

基本 XSS 攻击

复杂 XSS 攻击

DOM-based XSS

1. SQL 注入测试用例设计

SQL 注入攻击通常通过在输入字段中插入恶意 SQL 代码,试图操纵数据库查询。设计这些测试用例时,需要涵盖各种常见的 SQL 注入技术。

基本 SQL 注入

  • 用例 1: 使用单引号:

    • 输入: ' OR '1'='1
    • 预期结果: 应拒绝输入并返回错误消息,不应允许用户登录或执行其他操作。

  • 用例 2: 使用 SQL 注释:

    • 输入: admin'--
    • 预期结果: 应拒绝输入,并返回错误消息,后续的 SQL 代码不应执行。
复杂 SQL 注入

  • 用例 3: 带有多条 SQL 语句:

    • 输入: '; DROP TABLE users;--
    • 预期结果: 应拒绝输入并返回错误消息,不应执行任何 SQL 语句。

  • 用例 4: 带有逻辑操作:

    • 输入: ' OR '1'='1' AND '2'='2
    • 预期结果: 应拒绝输入并返回错误消息,不应通过验证。
盲注测试
  • 用例 5: 使用时间盲注:
    • 输入: '; IF (SELECT COUNT(*) FROM users) > 0 WAITFOR DELAY '00:00:10'--
    • 预期结果: 应拒绝输入并返回错误消息,服务器响应时间不应延长。

2. XSS 攻击测试用例设计

XSS 攻击通常是通过输入字段插入恶意的 JavaScript 代码,试图执行客户端脚本。设计这些测试用例时,需要涵盖常见的 XSS 攻击手段。

基本 XSS 攻击

  • 用例 1: 简单的脚本注入:

    • 输入: <script>alert('XSS')</script>
    • 预期结果: 应拒绝输入或将其转义,不应弹出警告框。

  • 用例 2: 带有 HTML 标签的脚本注入:

    • 输入: <img src="x" onerror="alert('XSS')">
    • 预期结果: 应拒绝输入或转义代码,不应执行 onerror 事件。
复杂 XSS 攻击

  • 用例 3: URL 中的 XSS:

    • 输入: javascript:alert('XSS')
    • 预期结果: 应拒绝输入,不应允许 javascript: 协议。

  • 用例 4: 混淆代码注入:

    • 输入: <scr<script>ipt>alert('XSS')</scr<script>ipt>
    • 预期结果: 应拒绝输入或转义,代码不应被执行。
DOM-based XSS
  • 用例 5: 修改 DOM 元素:
    • 输入: <input type="text" value="XSS" onfocus="alert('XSS')">
    • 预期结果: 应拒绝输入或将其转义,前端代码不应执行 onfocus 事件。
谷隐凡二
关注
专栏目录
移动端APP的H5测试用例一览表(常规用例)
猎摘互联网软件测试业界技术文章专用博客
04-16 2464
测试类型 一/二级子功能 用例检查点 通用标签 优先级 强制执行 角色权限测试 角色权限设定 角色不同看到的菜单不同 Y 3 Y 角色不同看到的数据不同 Y 2 权限低的账号登录后,不能查看权限高的内容 Y 2 页面UI测试 页面展示元素 检查小程序的界面美观度,字体大小、字体格式、按钮布局。 Y 2 页面&交互性检查测试 内嵌链接:空链...
数据报表测试、安全测试--案例模板
weixin_34306593的博客
05-23 1432
2019独角兽企业重金招聘Python工程师标准>>> ...
通用的测试用例编写大全(登录测试/web测试等)
yjt2045263063的博客
08-30 861
对于网站测试各个页面的跳转都是需要点击测试的,以及需要登录的操作,在未登录的情况下去操作,跳转是否正常都需要验证;现在新开发的项目对浏览器的兼容性要求也是比较高的,比较主流的浏览器就是IE6,IE7,IE8以及FireFox,苹果的浏览器Safari等,通过我。1、对于页面中的各项列表,都要测试其翻页功能,不仅要注意测试各个翻页相关按钮(注意:tab键,enter键的测试),特别是首页,尾页;1、对于页面的操作,大家要注意测试下浏览器上的后退按钮操作,查看下做完操作后点击后退按钮后,之前的操作是否会撤销?
web网页测试用例(非常实用)
热门推荐
yuki_ying的博客
02-09 9万+
Web测试中,各类web控件测试点总结 一 、界面检查   进入一个页面测试,首先是检查title,页面排版,字段等,而不是马上进入文本框校验   1、页面名称title是否正确   2、当前位置是否可见  您的位置:xxx>xxxx   3、文字格式统一性   4、排版是否整齐   5、列表项显示字段是否齐全,列表项字段名称是否跟表单统一   6、同一页面,是否出现 字段名称相同
设计测试用例(万能思路 + 六种设计用例方法)(详细 + 图解 + 实例)
12-22 1566
(3)打开cmd命令行窗口(win + r),cd 到allpairs 的目录下启动allpairs(执行.exe文件)allpairs.exe 2023_5_111.txt > 2023_5_111.txt,然后重定向一个新文件2023_5_111.txt,里面就是正交表。有优惠定为1,无优惠定为2)(8)金额不大于300,没有红包,没有提交订单,则该订单为无优惠订单;(5)金额不大于300,有红包,没有提交订单,则该订单为无优惠订单;(2)金额不大于300,有红包,提交了订单,则该订单为有优惠订单;
软件测试常见面试题
2301_80119299的博客
07-19 686
单元测试(模块测试)是开发者编写的一小段代码,用于检验被测试代码的一个很小的、很明确的功能是否正确。通常而言,一个单元测试是用于判断某个特定条件(或者场景)下某个特定函数的行为。单元测试是由程序员自己来完成,最终受益的也是程序员自己。可以这么说,程序员有责任编写功能代码,同时也就有责任为自己的代码编写单元测试。执行单元测试,就是为了证明这段代码的行为和我们期望的一致集成测试(也叫组装测试、联合测试)是单元测试的逻辑扩展。它最简单的形式是:两个已经经过测试的单元组合成一个组件,并且测试它们之间的接口。
软件测试工程师面试题-功能测试(测试理论)
清微的博客
05-30 9937
软件测试理论和常识
软件测试开发面经看到的题目
qq_39538619的博客
03-17 3687
面经看到的题目 浏览器搜索到页面显示的过程 DNS解析成网络IP 建立TCP连接 发送HTTP请求 ip路由寻址 参考:https://blog.csdn.net/wlk2064819994/article/details/79756669 数据库 连接 参考:https://jingyan.baidu.com/article/60ccbceb9578f164cab197f4.html ...
软件测试基本概念
沸腾的石灰
11-17 337
QPS/TPS QPS:Queries Per Second意思是“每秒查询率”,是一台服务器每秒能够相应的查询次数,是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准。 TPS:是TransactionsPerSecond的缩写,也就是事务数/秒。它是软件测试结果的测量单位。一个事务是指一个客户机向服务器发送请求然后服务器做出反应的过程。客户机在发送请求时开始计时,收到服务器响应后结束...
接口测试步骤样例
08-09
- **安全测试**:针对API可能存在的安全风险进行测试,如SQL注入XSS攻击等。 - **性能测试**:评估API在高并发等极端情况下的性能表现。 #### 3. 执行测试 - **手动测试**:适用于初期探索性测试或小规模的测试...
xss 跨站脚本攻击
最新发布
秋夫人
10-09 530
XSS 是一种注入类型的攻击,攻击者将恶意脚本注入到受信任的网站中。当其他用户访问该网站时,这些脚本会在用户的浏览器中执行。
Pikachu-Cross-Site Scripting-xss盲打
guanrongl的专栏
10-03 712
xss盲打,不是一种漏洞类型,而是一个攻击场景;在前端、或者在当前页面是看不到攻击结果;而是在后端、在别的页面才看到结果。登陆后台,查看结果;
Pikachu-xss防范措施 - href输出 & js输出
guanrongl的专栏
10-03 701
要想防止href 标签的xss : 一、可以做输入限定,只允许http 、https 的头的输入;二、结合输入限定后再做特殊字符转义。转义:所有输出到前端的数据,都根据输出点进行转义,比如输出到html中进行html实体转义,输入到 JS 里面的进行 JS 转义。过滤:根据业务需要进行过滤,如:输入点要求输入手机号,则只允许输入手机号格式的数字;从页面代码上看出,这是个href 标签,并且做了href特殊字符转换。核心点是:$ms == 'tmac'总体原则: 输入做过滤,输出做转义。
Pikachu-Cross-Site Scripting-反射型xss(get)
guanrongl的专栏
10-02 615
存储型XSS是指恶意脚本被存储在目标服务器上,当用户访问包含该脚本的页面时,脚本会被执行。例如,攻击者可以在留言板中输入恶意脚本,当其他用户查看留言时,脚本会在他们的浏览器中执行。这种类型的XSS不需要服务器端的参与,攻击者通过构造特定的URL或操作DOM,使得浏览器执行恶意脚本。提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;2、输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回的源码,是否有做对应的处理;先输入各种特殊字符,查看源代码,查看页面返回;
Pikichu-xss实验案例-通过xss获取cookie
guanrongl的专栏
10-02 552
查看后端代码cookie.php:就是获取cookie信息,保存起来,然后重定向跳转到目标页面;修改最后从定向的ip,改为自己测试用的IP地址;对此,构造攻击payload, 获取到cookie ,然后从定向跳转到pkxss后台,pkxss后台把数据保存后,重新重定向回到被攻击的页面。该后台可以把获得的cookie信息显示出来;pikachu提供了一个pkxss后台;
Pikachu-Cross-Site Scripting-xss之htmlspecialchars
guanrongl的专栏
10-03 356
查看页面元素,可以看到这里对一些符号做了转换,但是 单引号等几个符号没处理;提交,得到xss攻击。
XSS简介
weixin_63175492的博客
10-04 379
XSS攻击,通常是指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的攻击。在一开始,这种攻击演示是跨域的,所有叫做"跨站脚本"。跨站脚本攻击,英文全称是Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS长期以来被列为客户端web安全中的头号大敌,因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。那么,什么是XSS呢?
PostgreSQL常用数值处理函数简介
lunan的博客
10-04 624
这些数值处理函数提供了丰富的数值计算功能,从简单的数学操作到更高级的科学计算,满足了大多数数据库操作中的数值处理需求。
XSSSQL注入攻击详解:从概念到实战
“网络安全技术+XSS攻击和SQL注入攻击,主要介绍了XSS攻击的三种类型以及SQL注入攻击的示例,特别提到了XSSAlert、XSSCookieAlert和XSSCookieStealing等XSS攻击手段,以及SQLMap工具在SQL注入攻击中的应用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谷隐凡二

相识便是缘,开启技术大门

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值