安全测试复盘

已于 2024-06-03 10:57:23 修改
阅读量148 收藏
点赞数 1
分类专栏: 安全测试 总结回顾 文章标签: 安全 经验分享
于 2024-04-03 14:26:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28756461/article/details/137344231
版权

陆陆续续专职安全测试已经有1年的时间了,过程中也出现了一些问题,小部分是自己的问题导致,针对出现的问题,复盘下,每次测试项目都会注意以下几点

1、测试范围测试时间评估

首先就要确认下测试范围,评估测试时间,免得到最后发现时间不够用,提前发现问题

2、一定记录越权记录(所有越权记录)

方便查看是否有验证过,且有无越权记录,要留有证据,证明你做过这个事情,且当时测试的时候是什么样的

3、repeater单独验证

针对要求入参的一些接口,比如删除接口,一定需要发送repeater单独验证,替换真实数据验证

4、XSS注入

1)针对富文本的地方要多验证
2)也不能放过接口端注入XSS
3)针对get请求,替换参数为XSS验证
4)关注关联功能点,比如注入的内容在A页面,实际内容展示会在B页面,则需去B页面查看是否有XSS注入
5)注入下拉选项值

5、sql注入

1)输入框的注入
2)接口单独替换参数
3)get接口直接替换参数为sql的一些注入脚本

6、业务熟悉

没事多去系统点点看看,熟悉有哪些功能,避免会遗漏一些功能场景,导致出现安全问题

7、导入场景

考虑导入的内容含xss的内容,查看导入后呈现在页面的样子,是否会XSS注入

章章2024
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件测试复盘思路个人总结
邓小白的博客
01-21 7417
软件测试复盘过程和数据应用
复盘总结:反思构建方法论课后测试答案.pdf
01-01
复盘总结:反思构建方法论课后测试答案.pdf
软件测试面试复盘
m0_65683419的博客
09-26 332
③抽象类中的成员权限可以是public、默认、protected(抽象类中抽象方法就是为了重写,所以不能被private修饰),而接口中的成员只能是public(方法默认:pubic abstrat、成员变量默认:public static final)重写发生在父类子类之间,方法名必须相同,返回值类型必须相同,参数列表必须相同,访问权限不能比父类中被重写的方法的访问权限更低。②隔离性:事物间是互相隔离的,每个事务对其他事务的操作都是透明的,可以防止并发执行的事务之间产生脏读、不可重复读、幻读等问题。
3.7测试复盘
随便写写的博客
03-07 195
对于Java中异常的描述正确的是( ) A. 用throws定义了方法可能抛出的异常,那么调用此方法时一定会抛出此异常。 B. 如果try块中没有抛出异常,finally块中的语句将不会被执行。 C. 抛出异常意味着程序发生运行时错误,需要调试修改 D. Java中的可不检测(unchecked)异常可能来自RuntimeException类或其子类。 解析:A错 在调用此方法的时候 也可以再...
一个测试工程师的成长复盘
人生不怕起点低,就怕没追求
08-25 1859
背景 前几天微信群有个同学加我好友,向我咨询一些问题。他说,看到我在群里说了一段话: 成年人,最重要的是获取知识的方式和思维逻辑,而不是只追求知识量的增加,提升增量,而不是存量。 学习,永远是学习能快速变现的,对现在的工作生活能带来帮助的,而思维逻辑能力和学习能力的提升,需要长期坚持的刻意练习来习得。 这句话出自李善友的《第一性原理》,我根据自己的理解在群里说了出来。 他说,感觉自己就处在那种低水平的思维模式,总是不能真正解决问题,现在不知道怎么突破到更高的思维模式,问我有什么建议? 我和他聊了一些我自己.
3.6测试复盘
随便写写的博客
03-06 163
哈夫曼树、平衡二叉树都是数据的逻辑结构(√) T(n)=O(f(n))中,函数O()的正确含义为() A. T(n)为f(n)的函数 B. T(n)为n的函数 C. 存在足够大的正整数M,使得T(n)≤M×f(n) 答案:C 类中声明的变量有默认初始值; 方法中声明的变量没有默认初始值,必须在定义时初始化,否则在访问该变量时会出错。 java中下面哪个能创建并启动线程() publ...
测试复盘及拓展
2402_82371019的博客
03-31 1144
EOF) //文件终止。允许你在运行时动态地改变容器的大小,这意味着你不需要提前知道数组的大小,可以根据输入的。不需要手动管理内存,它会自动处理内存的分配和释放,避免了内存泄漏和段错误等问题。能够使代码更加简洁、安全和灵活,特别是在需要动态管理数组大小的情况下。while( cin >> n,n)//当读到n=0的时候停止。提供了边界检查,可以防止访问越界导致的错误,这可以增加代码的健壮性。等,这些方法可以简化代码,减少出错的可能性。// 逆序输出数组a中的元素。
测试面试复盘
weixin_42702666的博客
09-26 460
好大夫测试: 栈和堆的区别? 栈是由系统自动分配释放,用于存放函数的参数、局部变量等。地址是由高到低。 堆是由程序员分配释放,地址由低到高,先来的地址不一定低。 堆中存的是对象。栈中存的是基本数据类型和堆中对象的引用。 为什么选择测试不选开发? 测试入门比较容易,上手快,我对测试很感兴趣,而且现在有自动化测试发展前景也很好,我希望进公司以后自己的技术能力有所提高,而且一个程序员应该不只...
Java测试01复盘
m0_63263973的博客
07-06 354
Java基础知识
Java 9.5 测试复盘
ZLB_CSDN的博客
09-08 472
《9.5测试复盘》 3.对于一个已经不被任何变量引用的对象,当垃圾回收器准备回收该对象所占用的内存时,将自动调用该对象的哪个方法(A) A finalize B notify C notifyAll D hashCode 垃圾回收过程中的对象销毁–Finalization 13.能单独和finally语句一起使用的块是( A) A.try B.catch C.throw D.throws ...
网络安全、渗透测试、安全服务面试题
07-01
- **复盘准备**:在面试前,建议对参与过的项目进行一次全面的复盘,包括但不限于项目的背景、目标、实施过程以及最终成果等。通过文字形式记录下来,可以帮助自己更好地回忆起项目的细节,从而在面试时更加流畅地...
MT4复盘工具
11-27
MT4复盘工具是金融交易者,特别是外汇市场交易者常用的一款模拟交易系统,用于测试和优化交易策略。它全称为MetaTrader 4 (MT4) 回溯测试工具,允许用户在历史数据上运行他们的交易算法,以评估其在不同市场条件下的...
竞赛资料源码-信息安全竞赛复盘积累.zip
01-25
教育部认可的大学生竞赛备赛资料代码,源码,竞赛总结,所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通 全国电子设计大赛、全国大学生智能汽车竞赛、蓝桥杯、集成电路...
渗透测试实践指南
09-19
渗透测试是一种安全测试方法,通过模拟攻击者的手段来评估计算机系统、网络或应用程序的安全性。本指南不仅介绍了渗透测试的基本概念,还详细讲解了渗透测试的流程、工具使用以及实际操作中的技巧和注意事项。 首先...
等保测评中的安全需求分析:构建精准的信息安全防护体系
最新发布
w13359990065的博客
08-15 522
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
[Linux]车联网安全-大佬都在用的渗透测试系统
Liyu_6618的博客
08-12 294
天刃是一个基于Ubuntu 18.04的车联网渗透测试发行版系统,主要用于针对车联网设备进行安全评估。系统内置上百个车联网安全测试专用工具,旨在解决车联网安全从业人员测试工具杂乱、测试环境配置复杂、无工具可用等一系列问题。本系统提供ISO镜像安装与OVA镜像导入方式安装,推荐使用OVA导入虚拟机操作更为简单方便。覆盖逆向、CAN、车载以太网、WiFi、蓝牙、云平台等安全测试。导入或安装成功后开机使用iov/root进行登录,登录成功后会显示用户体验计划,可选择同意或拒绝,确认完成后即可开始使用。
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
Future_2024的博客
08-13 581
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
ctf 堆栈结构
qq_69100706的博客
08-12 370
CTF(Capture The Flag)竞赛中,理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。
测试项目管理:挑战与对策
- 测试策略制定:确定测试类型(如功能测试、性能测试、安全测试等),选择合适的测试方法和技术。 - 测试用例设计:编写详细、可执行的测试步骤,覆盖各种可能的场景。 - 测试环境配置:搭建与生产环境相似的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值