测试方向基础——会话管理浅析

已于 2024-03-02 11:44:54 修改
阅读量937 收藏
点赞数
分类专栏: 软件测试 文章标签: 软件测试
于 2022-04-17 21:10:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51508220/article/details/124153393
版权

会话管理浅析


持续更新中。。。

了解会话管理的概念和基本原理

  1. 为什么要进行会话管理?
    Web应用程序基于HTTP协议
    (1)HTTP基于请求/响应模式,所有请求都是相互独立的、无连续性的
    (2)HTTP是无连接的协议,限制每次连接只处理一个请求
    (3)HTTP是无状态的协议,协议对于事务处理没有记忆能力

  2. 会话管理的产生:
    (1)对于简单的页面浏览或信息获取,HTTP协议即可胜任(例如浏览、查看在线图书目录)
    (2)对于需要客户端和服务器端多次交互的网络应用,则必须记住客户端状态(例如网上的购物车、用户登录)

  3. 会话就是 一个客户端连续不断地和服务器端进行请求/响应的一系列交互

  4. 多次请求建立关联的方式称为会话管理或会话跟踪
    会话状态: 指服务器与浏览器在会话过程中产生的状态信息。
    (HTTPServlet有一个全局的context对象**(ServletContext context = getServletContext()、 context.setAttribute())**,可以把所有信息存起来,但像淘宝那么多用户,都存进去,太多了。所以不建议使用。)

  5. 会话的实现过程:
    在这里插入图片描述

使用Cookie、隐藏域、URL重写实现会话管理

  1. HTTP有两大部分:请求和响应
    (1)请求:包含请求头、请求行、请求体(仅限于post)
    (2)响应:响应头、响应行、响应体(响应正文)
  2. 使用Cookie
    所有HTTP消息,不管是请求还是响应均包含头信息。
    (1)当服务器返回响应给客户端时,Servlet容器把会话的信息添加到响应头信息中
    (2)客户端浏览器接收到响应后提取头信息,并将其存储在本地机中,以后发送请求时会自动将该信息带回服务器端
    浏览器存储在客户端机器上的头信息称作Cookie, 它以**属性名=属性值;…**方式组成文本信息。
  3. 写入在这里插入图片描述(1)创建Cookie对象:调用Cookie的构造方法,给出Cookie的名称和Cookie的值,二者都是字符串。上例中为Cookie c = new Cookie("userName", "a1234")(2)设置最大时效,如果要告诉浏览器将Cookie存储到磁盘上,而非仅保存在内存中,使用setMaxAge方法(参数为秒数)。c.setMaxAge(60*60*24*7)//一周(3)将Cookie放入到HTTP响应中。(如果没有这一步,不会有任何Cookie被送到浏览器) response.addCookie(c);
  4. 读取cookie:调用request,getCookies(得到Cookie对象组成的数组,)
    举个例子:(上述图片上的基本操作)
package cookie;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.smartcardio.TerminalFactorySpi;
import javax.xml.ws.Response;
@WebServlet("/c1")
public class CookieDemo1 extends HttpServlet{
	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		resp.setContentType("text/html;charset=utf-8");
//1.创建Cookie对象
		Cookie cookie1 = new Cookie("username", "xhx&");
//2.设置最大时效
		cookie1.setMaxAge(60*60*24);
//3.添加到响应中
		resp.addCookie(cookie1);
		Cookie cookie2 = new Cookie("password", "123");
		cookie2.setMaxAge(60*60*24);
		resp.addCookie(cookie2);
		PrintWriter writer = resp.getWriter();
		writer.write("cookie, first!");
	}
}


package cookie;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/*
 * 获取cookie
 * */

@WebServlet("/c2")
public class CookieDemo2 extends HttpServlet {

	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		resp.setContentType("text/html;charset=utf-8");
		Cookie[] cookies = req.getCookies();
		PrintWriter out = resp.getWriter();
		if (cookies != null) {
			System.out.println(cookies.length);
			out.write("cookie的信息:" + "<br>");
			for (Cookie cookie : cookies) {
				out.write(cookie.getName() + ":" + cookie.getValue());
			}
		}
	}
}

效果如下:
在这里插入图片描述
下面展示一个Cookie当一个计数器的栗子。

package cookie;

import java.io.IOException;
import java.io.PrintWriter;
import java.text.SimpleDateFormat;
import java.util.Date;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.sun.jndi.url.iiopname.iiopnameURLContextFactory;

/*
 * 如果第一次访问,创建Cookie,访问次数设为1
 * 不是第一次,取出Cookie的值,次数+1
 * */
@WebServlet("/CookieCounter")
public class CookieCounter extends HttpServlet {
	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//1.设置响应编码
		resp.setContentType("text/html;charset=utf-8");
		PrintWriter out = resp.getWriter();
//2.获取请求
		Cookie[] cookies = req.getCookies();
		if (cookies == null) { // 第一次访问
			out.println("这是第一次访问");
			SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd/hh:mm");

			Cookie c1 = new Cookie("date", sdf.format(new Date()));
			c1.setMaxAge(60 * 60);
			resp.addCookie(c1);

			Cookie c2 = new Cookie("count", "1"); // value值只能是字符串!
			c2.setMaxAge(60 * 60);
			resp.addCookie(c2);
		} else {
			for (int i = 0; i < cookies.length; i++) {
				if (cookies[i].getName().equals("date")) {
					out.write("第一次访问的时间: " + cookies[i].getValue() + "<br>");
				} else { // 次数加一
					String counter = cookies[i].getValue();
					int count = Integer.parseInt(counter);
					count++;
					out.write("第" + count + "次访问" + "<br>");

					// 第一种方法:重写一个cookie代替
					Cookie new_c2 = new Cookie("count", String.valueOf(count));
					new_c2.setMaxAge(60 * 60);
					resp.addCookie(new_c2);

					// 第二种,setValue
					// cookies[i].setValue(String.valueOf(count));
					/* 注意只有setValue没有setName() */
					// resp.addCookie(cookies[i]);

				}
			}
		}
	}
}

效果:
在这里插入图片描述

【tips:可能出现(java.lang.NumberFormatException: For input string: “xhx&”)类似这种报错:解决办法:清空浏览器的cookie数据。(在设置中)】

  1. Cookie的优缺点:
    优点:
    (1)可配置到期规则,数据可持久保存
    (2)不需要服务器资源,数据保存在客户端
    (3)简单性,基于文本的Key-Value对
    缺点:
    (1)大小受到限制(总数:300; 站点:20; Cookie:4KB)
    (2)用户可禁用客户端接收Cookie的功能
    (3)潜在的安全风险。

  2. 使用隐藏的表单
    (1)思想 :通过使用隐藏域,由浏览器主动告知服务器多次请求间必要的信息,如:在线问卷作答。
    例如下图:
    在这里插入图片描述

(2)优缺点:
1)优点:Cookie被禁用或者根本不支持的情况下一九能够工作
2)缺点:关掉网页后会遗失先前的请求结果;所有的页面必须是表单提交之后的结果。

  1. 使用URL重写
    (1)思想:当服务器响应浏览器上一次请求时,将某些相关信息以超链接方式响应给浏览器,超链接中包括请求参数信息。
    例如:
    在这里插入图片描述
    举一个简单的例子:点击Servlet1中的链接,会跳转到Servlet2并且获得URL中的相关参数
package cookie;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/Servlet1")
public class Servlet1 extends HttpServlet {
	private static final long serialVersionUID = 1L;
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		response.setContentType("text/html;charset=utf-8");
		//重新编码URL
		String path = response.encodeURL("/xueli02/Servlet2?name=xhx&passwd=123456");
		PrintWriter out = response.getWriter();
		out.write("<a href="+path+">click here</a>");
		out.flush();
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}
}


package cookie;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/Servlet2")
public class Servlet2 extends HttpServlet {
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		PrintWriter out = response.getWriter();
		out.write(request.getParameter("name"));
		out.flush();
	}
	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		doGet(request, response);
	}
}

练习:尝试实现三天免登录的功能:(但仅仅有这些代码,还不足以实现这个功能,因此在此只做一个记录。若有朝一日我能把这个写出来,再来此补充。(如果有大佬指点,那就更好了。。呜呜呜,菜死了))
一:LoginServlet.java:
如果是用户名admin,密码是123456,
(1)并且勾选自动登录,创建Cookie,存储用户名,有效期为3天。
(2)未勾选,不创建Cookie,请求转发到UserServlet.java
如果用户名密码错误,重定向到login.html
二:UserServlet.java:
如果用户名为空,重定向到login.html
如果不为空,显示用户名

三:IndexServlet.java:
获取Cookie,如果包含user:admin,跳转到UserServlet.java
否则,重定向到login.html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<form action="login" method="post">
用户名:<input type="text" name="uname"><br>
密码:<input type="text" name="upwd"><br>
自动登录:<input type="checkbox" name="is_login" value="auto"><br>
<input type="submit" value="登录">
</form>
</body>
</html>

package cookie;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/LoginServlet")
public class LoginServlet extends HttpServlet {
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		response.getWriter().append("Served at: ").append(request.getContextPath());
	}

	
	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		String username=request.getParameter("uname");
		String password =request.getParameter("upwd");
		if(username.equals("admin")&&password.equals("123456")) {
			String flag = request.getParameter("is_login");
			if(flag.equals("auto")) {
				Cookie cookie = new Cookie("name", username);
				cookie.setMaxAge(60*60*24*3);
				response.addCookie(cookie);
			}
			request.setAttribute("username", username);
			request.getRequestDispatcher("user").forward(request, response);
		}else {
			response.sendRedirect("login.html");
		}
	}

}


package cookie;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


@WebServlet("/UserServlet")
public class UserServlet extends HttpServlet {
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		if(request.getAttribute("username")==null) {
			response.sendRedirect("login.html");
		}else {
			PrintWriter writer = response.getWriter();
			writer.write(""+request.getAttribute("username"));
		}
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		doGet(request, response);
	}

}


package cookie;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet implementation class IndexServlet
 */
@WebServlet("/IndexServlet")
public class IndexServlet extends HttpServlet {
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		Cookie[] cookies = request.getCookies();
		if(cookies!=null) {
			for(Cookie cookie:cookies) {
				String name=cookie.getName();
				String value=cookie.getValue();
				if(name.equals("name") && value.equals("admin")) {
					request.setAttribute("username", value);
					request.getRequestDispatcher("user").forward(request, response);
				}
			}
		}
		response.sendRedirect("login.html");
	}
	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		doGet(request, response);
	}

}

Session会话管理的原理和技术实现

  1. 在Servlet中进行会话管理,可以使用HttpServletRequest的getSession()方法获取HttpSession对象(简称为Session),通过设置/获取服务器端Session对象的属性,来保留请求间的相关信息。如下图所示:
    在这里插入图片描述

  2. Servlet容器提供Session接口来代表服务器端和客户端的会话
    当一个WEB服务器为客户端开始一个会话时,创建一个Session对(含有特殊ID,称为Session ID,默认用Cookie存放在浏览器中。在Tomacat中,Cookie的名称为JSESSIONID)临时存储,浏览器关闭就失效了
    Session将数据存储在服务器的内存中,供以后来自同一个客户端的请求使用。
    第二次请求中(接下来的多次请求),请求头会附带JSESSIONID,服务器接收到请求后,调用相应的Servlet处理,同时跟据JSESSIONID,返回对应的Session对象。

    举一个例子:

package hebu.couse.xxx;

import java.io.IOException;

import javax.security.auth.message.callback.PrivateKeyCallback.Request;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
@WebServlet("/SessionDemo1")
public class SessionDemo1 extends HttpServlet{
	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		HttpSession session = req.getSession();
		System.out.println(session.getId());
		session.setAttribute("name", "xhx");
		resp.sendRedirect("SessionDemo2");
	}
}

package hebu.couse.xxx;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@WebServlet("/SessionDemo2")
public class SessionDemo2 extends HttpServlet {
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		HttpSession session = request.getSession();
		System.out.println("2----"+session.getId());
		response.getWriter().write((String)session.getAttribute("name"));
	}
}

打印出来内容如下:
在这里插入图片描述
补充:如果session.getAttribute(“name”)不存在,返回null

举个例子:
当第一次输入用户名的时候,页面显示:这是第一次登录,及用户名。
后面访问,就直接显示用户名

package hebu.couse.xxx;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@WebServlet("/Login")
public class LoginServlet extends HttpServlet {

	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doPost(request, response);
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//1.设置请求编码方式
		request.setCharacterEncoding("utf-8");
//2.设置响应的编码方式:
		response.setContentType("text/html;charset=utf-8");
		PrintWriter writer = response.getWriter();
//3.获取请求信息
		String user_name = request.getParameter("uname");
//4.处理请求
		if(user_name.equals("yyy")) {
			HttpSession session = request.getSession();
			System.out.println(session.getId());
			String name=(String)session.getAttribute("user");
			if(name == null){//第一次访问为空
				writer.write("这是第一次访问");
				writer.write("<h1>"+user_name+"</h1>");
				session.setAttribute("user", user_name);
				//session.setMaxInactiveInterval(60*60);
				//在1小时之内,当前站点没有被访问,session对象就销毁了
				//session.invalidate();//强制session失效,多用于退出
			} else {
				writer.write("<h1>"+user_name+"</h1>");
			}
		}
//5.返回响应
	}
}


<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<form action="Login" method="post">
用户名:<input type="text" name="uname"><br>
密码:<input type="text" name="upwd"><br>

<input type="submit" value="登录">
</form>
</body>
</html>

上述例子,可以发现,每次打印出来的ID是一样的。
我们还可以session.invalidate();//强制session失效,多用于退出

使用时机:
登录,把用户的信息保存在session中,供这个用户的其他请求使用。
总结:
Session解决了一个用户的不同请求的数据共享问题,只要JSSESSIONID不失效(浏览器关闭)和Session对象不失效(超时)
当前用户的对于该站点的任意Servlet请求在处理时都能获取同一个 session的对象。

Xuhx&
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
信息安全技术(测试身份验证和会话管理
m0_74164189的博客
06-26 255
会话管理测试测试应用程序中的会话管理功能是否安全。测试会话ID的安全性,包括会话ID的随机性、长度和容易被猜测到的风险等。认证测试测试登录页面的安全性,包括密码复杂度和强制重置密码的功能。测试不同用户角色的权限分配是否准确,并测试是否存在绕过权限控制的风险。测试是否存在未经授权的密码重置,以及是否存在安全漏洞,如密码重置令牌被劫持等。安全培训和意识教育:通过对员工进行安全培训和意识教育,提高员工对信息安全的重视程度和安全意识,减少安全事故的发生。退出测试测试应用程序的退出功能是否安全。
webgoat——Session Management Flaws会话管理缺陷
01-20
为了解决这个问题,会话管理应运而生,它允许服务器识别和跟踪不同客户端之间的交互。其中,服务器端的Session管理是一种常见方式。当用户成功登录后,服务器会生成一个唯一的Session ID,通常通过Cookie返回给...
【web-渗透测试方法】(15.4)测试会话管理机制
09-04 944
测试会话管理机制】
渗透测试_会话管理
blrk
08-16 1555
1、会话管理模式     攻击过程:cookie收集、cookie分析、cookie伪造。     分析cookie是否满足以下特点:不可预测性、防篡改、设置有效期、安全标志Secure。     cookie溢出。      2、cookie属性     Secure,httponly,domain,path,expires      3、会话固定     检查会话ID在验证成
安全测试-会话管理
天道酬勤
05-06 727
用户登出后应立即清理会话及其相关登录信息 注销功能应当完全终止相关的会话或连接 增加Cookie安全性,添加“Http0n1y”和“secure" 属性(当“secure"属性设置为true时表示创建的 Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证, 在HTTP连接中不会传递该信息,也就不会存在Cookie被窃取的问题;设置了"Http0n1y"属性,通过程序(JS脚 本、Applet等) 将无法读取到Cookie信息,这样也能减少XSS跨站脚..
4.6 会话管理测试
qq_44232452的博客
09-13 113
4.6.10 测试 JSON Web 令牌。4.6.2 测试 Cookie 属性。4.6.4 测试暴露的会话变量。4.6.1 测试会话管理架构。4.6.5 跨站请求伪造测试。4.6.8 会话解谜的测试。4.6.3 会话固定测试。4.6.6 测试注销功能。4.6.7 测试会话超时。4.6.9 会话劫持测试
程序测试报告——图书管理系统借鉴.pdf
12-15
《图书管理系统程序测试报告》是一份详尽的文档,旨在评估和验证图书管理系统的功能、性能和稳定性。报告涵盖了测试的各个重要方面,为确保系统能够有效地满足用户需求提供了全面的依据。 首先,报告的引言部分明确...
在ASP.NET中实现会话状态基础
03-05
尽管如此,有效的状态管理对于大多数Web应用程序来说都是一个必备的功能。MicrosoftASP.NET以及许多其他服务器端编程环境都提供了一个抽象层,允许应用程序基于每个用户和每个应用程序存储持久性数据。 需要特别...
EgretSessionCount:Egret 与 LeanCloud 通讯Demo —— 会话统计
06-17
《EgretSessionCount:Egret与LeanCloud通信实现会话统计详解》 在现代移动游戏开发中,数据统计和分析是至关重要的环节,它能够帮助开发者了解用户行为、优化游戏性能以及制定有效的运营策略。本文将深入探讨Egret...
基于会话测试管理
:)每天进步一点点
01-18 838
Session-Based Test Management A method for measuring and managing exploratory testing   Description Exploratory testing is unscripted,unrehearsed testing. Its effectiveness depends on several in
Web安全测试—09会话管理测试
最新发布
wangxiumei_的博客
11-30 461
在WebScarab的Response的“Raw”Tab页中显示“HTTP/1.1 302 Moved Temporarily”,不能够访问只有登陆才能访问的页面,不能完成只有登陆后才能完成的操作。虽然会话定置的危害比较大,但由于要事先为受害者确定会话标识,并且让受害者根据此会话标识登录系统,其发生的概率很小,所以综合风险不高,测试时根据被测系统安全要求的高低,来确定是否执行该用例。用户登陆后,身份信息不再由客户端提交,而是以服务器端会话信息中保存的身份信息为准。注销时(logout),会话信息是否清除。
测试身份验证和会话管理
abc3106887422的博客
10-25 178
如果这是不可能的,因为服务器只允许某些内容类型,那么我们成功CSRF的唯一机会是服务器的跨源资源共享(CORS)策略允许来自我们的攻击域的请求,因此请检查服务器响应中的Access-Control-Allow-Origin标头。然后,我们分析了一个弱生成的会话ID。你可以这样来理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
Web安全测试指南--会话管理
weixin_30635053的博客
01-06 174
会话复杂度: 编号 Web_ Sess_01 用例名称 会话复杂度测试 用例描述 测试目标系统产生的session id是否具备足够的复杂度。 严重级别 高 前置条件 1、 目标系统使用登录会话机制。 2、 目标web应用可访问,业务正常运...
会话管理测试时的注意点
weixin_30839881的博客
06-21 164
1、清空缓存、cookie(不只是网络缓存) 在火狐下,如下图: 否则,会影响测试效果及对有效cookie的分析判断; 2、搞清楚哪个cookie是会话id(sessionid),这个在cookie事先都清空,无历史干扰时会很好判断的,见1; 3、搞清楚哪个是登录后协商产生的cookie 4、搞清楚协商过程,服务端、客户端中谁发起的,发起后能否改变(往往攻击就在这);改变后的反应是什...
Web渗透测试-测试身份验证和会话管理
hst12300的博客
10-28 180
用户名枚举是指对用户名进行系统化的分类和列举。在许多网站和应用程序中,用户需要选择一个唯一的用户名作为其身份标识。为了帮助用户选择合适的用户名,许多平台提供了用户名枚举功能,列出了一系列常见的用户名选项供用户选择。通过用户名枚举,用户可以避免使用与其他用户重复的用户名,增加账户的安全性和唯一性。用户名枚举通常基于一些常见的命名规则和词汇,以及平台特定的限制和要求。例如,常见的用户名枚举选项可能包括以数字结尾的用户名、以姓氏或昵称作为前缀的用户名、以特定关键词或主题相关的用户名等。
你知道SBTM(会话测试管理)的最佳实践吗?
伤心的辣条
10-09 402
看到题目是不是感觉很陌生?没关系,今天一文讲透会话测试管理
跟bWAPP学WEB安全(PHP代码)--认证绕过与会话管理
weixin_30260399的博客
01-29 126
背景 这里主要是代码逻辑问题,而不是代码使用函数的问题,因此在这个里面就不粘贴具体代码了,而是分类介绍下bWAPP中涉及的安全问题: 验证码问题 找回问题 账号口令问题 Cookies问题 Session问题 验证码问题 常见漏洞: 验证码可穷举、验证码可识别、验证码被传送到客户端、验证码前端校验、验证码可重放、验证码无验证或验证有问题等等 验证码可穷举:只验证码为优先数量,且不够...
基于会话的探索性测试管理
weixin_33881753的博客
07-10 227
探索性测试是一个特殊的测试过程,它的测试活动和测试内容是动态变化的,更多的是通过测试执行的结果来指导后续的测试活动,花在文档上的时间很少,这也就意味着探索性测试的可管理性不强,对于每个测试人员执行的测试活动的进度和效果很难监控。为了更好地开展探索性测试,Jonathan Bach提出了一种“基于会话测试管理(Session-basedtestmana...
GPRS网络基础会话管理与数据传输解析
"本文档是关于GPRS网络基础原理的介绍,主要涵盖了会话管理和数据传送等内容。GPRS(General Packet Radio Service)是基于GSM系统的一种移动分组数据业务,允许用户通过分组交换方式接入互联网或其他数据网络。GPRS...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Xuhx&

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值