陆陆续续专职安全测试已经有1年的时间了,过程中也出现了一些问题,小部分是自己的问题导致,针对出现的问题,复盘下,每次测试项目都会注意以下几点
1、测试范围测试时间评估
首先就要确认下测试范围,评估测试时间,免得到最后发现时间不够用,提前发现问题
2、一定记录越权记录(所有越权记录)
方便查看是否有验证过,且有无越权记录,要留有证据,证明你做过这个事情,且当时测试的时候是什么样的
3、repeater单独验证
针对要求入参的一些接口,比如删除接口,一定需要发送repeater单独验证,替换真实数据验证
4、XSS注入
1)针对富文本的地方要多验证
2)也不能放过接口端注入XSS
3)针对get请求,替换参数为XSS验证
4)关注关联功能点,比如注入的内容在A页面,实际内容展示会在B页面,则需去B页面查看是否有XSS注入
5)注入下拉选项值
5、sql注入
1)输入框的注入
2)接口单独替换参数
3)get接口直接替换参数为sql的一些注入脚本
6、业务熟悉
没事多去系统点点看看,熟悉有哪些功能,避免会遗漏一些功能场景,导致出现安全问题
7、导入场景
考虑导入的内容含xss的内容,查看导入后呈现在页面的样子,是否会XSS注入