手工安全测试

最新推荐文章于 2024-09-07 15:36:21 发布

小小apple

最新推荐文章于 2024-09-07 15:36:21 发布

阅读量288

点赞数

分类专栏：安全测试文章标签：安全

本文链接：https://blog.csdn.net/qq_41813092/article/details/115673953

版权

安全测试专栏收录该内容

1 篇文章 0 订阅

订阅专栏

手工安全测试

文件上传
文件大小限制
.exe，.py的文件名
文件名中含有特殊字符
输入校验
空值校验（NULL,null，0x0d 0x0a）
输入html和JavaScript验证
（1）输入<html”>”gfhd</html>,看是否出错
（2）输入<input type=”text” name=”user”/>,看是否出现文本框
（3）输入<script type=”text/javascript”>alert(“提示”)</script>看是否出现提示
越权访问
垂直权限限制
（1）低权限用户是否可以登录高权限用户页面
水平权限限制
（1）未登录是否能访问需登录的页面是否能访问用户私有页面
sql注入
原语句：

select * from users where username='marcofly' and password=md5('test')

修改后语句：

select * from users where username='' or 1=1#' and password=md5('')

修改后语句等价于：
select * from users 因为or 1=1永远成立

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小小apple

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

手动安全测试详解

weixin_47756183的博客

04-25

321

转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”…”,”‘”,”–”,”%”,”0x”,”>

安全测试

jffhy2017的博客

01-16

2426

测试类型：应用程序级别测试，基础结构测试威胁分类：信息泄露，认证不充分，操作系统命令，sql注入，可预测资源位置，跨站点请求伪造，传输层保护不足，会话定置 1.sql盲注；风险：可能会查看、修改或删除数据库条目和表；原因：未对用户输入正确执行危险字符清理；应用程序易收到攻击；威胁分类：sql盲注测试类型：应用程序级别测试 2.使用sql注入的认证旁路风险

参与评论您还未登录，请先登录后发表或查看评论

Web安全测试(一)-手工安全测试方法&修改建议

热门推荐

li_liu10的博客

02-03

1万+

本文主要简述了Web类网站常见安全性问题，罗列简单手工测试方法及相关解决方法，结合部分网络资料及实际项目处理方法，希望给大家提供一定养份

软件测试之多测师带你了解手工安全测试

software_test010的博客

09-04

840

测试做安全一般是做手工安全测试： 1、sql 注入 2、xss 跨站点脚本攻击 3、跨目录访问 4、用户权限访问控制 1、sql 注入基本原理：一般sql 注入是在前台，有时后台也有，改变sql 语句的正常写法，但是又能骗过代码， select password from 表名 where name=‘zhangsan’; 改成 select password from 表名 where name=‘zhangsan’ or 1=1; 2、xss 跨站点脚本攻击很多文本框的时候，则aler.

[转载]手工安全测试方法&修改建议

weixin_30387423的博客

11-20

262

转载自： Web安全测试(一)-手工安全测试方法&修改建议 1.XSS(Cross-Site Script)跨站脚本攻击 XSS(Cross-Site Script)：跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行，从而达到恶意用户的特殊目的。钓鱼者通常使用XSS攻击来窃取COOKIE 和s...

一个安全测试的checklist

にんしゅうけんの专栏

11-09

467

1. 不登录系统，直接输入登录后的页面的url是否可以访问　　2. 不登录系统，直接输入下载文件的url是否可以下载，如输入http://url/download?name=file是否可以下载文件file 　　3. 退出登录后按后退按钮能否访问之前的页面　　4. ID/密码验证方式中能否使用简单密码。如密码标准为6位以上，字母和数字混合，不能包含ID，连续的字母或数字不能超过n位

渗透测试用例、安全手工测试用例

06-01

提供安全手工测试用例，包括身份鉴别、登录控制、越权测试、SQL注入、跨站点脚本编制、文件上传、跨站点请求伪造等web应用安全漏洞的手工测试方法

（一）安全测试实施：安全测试通用用例整理

gzytester的博客

03-11

3120

安全测试通用用例整理通用安全测试用例SQL注入漏洞SQL注入 S0命令注射漏洞 S0跨站脚本攻击（XSS）跨站脚本攻击（XSS）S0文件任意上传文件任意上传 S0表单漏洞测试表单漏洞测试 S1Cookie欺骗Cookie欺骗 S1越权用户权限控制 S1页面权限控制 S1sessionSession互窜 S1Session超时 S1日志记录的完整性日志记录的完整性 S1信息安全用户信息 S2系统信息 S3数据库安全数据库名称和存放位置安全 S3数据库本身的安全 S3数据使用时的一致性和完整性测试 S3数据库访

安全测试-web安全-安全测试通用测试用例

04-05

需要做web安全测试人员，针对应用程序的安全，整理的通用安全测试用例，适用于bs和cs架构； 安全测试分类，安全漏洞理论知识；实践手工及工具扫描，使用burpsuites及xray联动扫描；帮助基础学习安全测试人员掌握...

一次手工测试的实践过程

03-23

一次手工测试的实践过程。摘要：在距离“等待页面”模块(因为是双十一的关键模块，安全起见故用这个名称来替代)上线时间还剩2天的时候，接到了该模块的功能测试任务。在简单了解模块功能需求之后发现　摘要：在距离...

web安全——手动测试

11-25

安全测试常用工具扫描进行，本次讲解内容是针对手动安全测试，包括常见关注点，三大漏洞：sql注入，xss攻击，文件上传漏洞等内容，可以方便测试人员在平时测试时就能手动测试安全问题

项目实战安全测试用例

04-01

安全测试分析的来源主要是需求、系统设计、安全工程师安全建议。采用的测试策略:工具扫描,手工测试.安全测试用例设计可参考安全测试用例库.

API安全测试的思路与基于Swagger的API自动化安全测试实践.pdf

08-07

总结来说，传统的REST API安全测试主要依赖手工测试，其过程繁琐且效率低下。而基于Swagger的自动化安全测试实践，不仅能够提高测试的效率和覆盖率，还能够帮助开发团队在软件开发生命周期的早期发现潜在的安全漏洞...

网络安全通识全解|第16期手工测试与自动化测试

Tianqi_Wukong的博客

10-22

8929

手工测试与自动化测试手工测试是指软件测试的整个活动过程（如评审、测试设计、测试执行等）都是由软件测试工程师手工执行来完成，不使用任何测试工具，狭义上是指测试执行由人工完成，这是最基本的测试形式。自动化测试是使用软件来控制测试执行过程，比较实际结果和预期结果是否一致，设置测试的前置条件和其他测试控制条件并输出测试报告。通常，自动化测试需要在适当的时间使已经形式化的手工测试过程自动化。手工测试的优缺点优点：手工测试更具有想象力缺点： 1.测试过程、结果记录工作繁琐，消耗大量精力； 2.测试成果难以复

Web安全测试 — 手工安全测试方法&修改建议

dlvp37214的博客

06-27

164

常见问题 1.XSS(CrossSite Script)跨站脚本攻击 XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意 html代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行，从而达到恶意用户的特殊目的。测试方法：在数据输入界面，添加记录输入：<script>alert(/30141...

web安全手工测试---浏览器使用（实验原理及思路更重要）

liuy_uzhi的博客

08-07

863

1、火狐浏览器禁用JS：打开火狐--->about:config--->javascript.enabled--->切换成false； 2、两个例子 3、黑掉网站思路：发现漏洞、验证漏洞、利用漏洞、获取权限保护网站：发现漏洞、验证漏洞、思考原理及成因、修复漏洞 4、浏览器安全特性及设置：谷歌+火狐+IE（可导致同一个漏洞在不同浏览器触发效果不同，根...

适用所有公司的安全测试用例

huitest的博客

11-24

289

现在对测试的人员要求越来越高，纯手工测试即功能测试已经不满足企业的需求，测试需要了解更多的技术领域，比如安全，作为一个非专业安全测试人员，如何进行安全测试呢？特整理出功能测试同学可以发现的安全问题，如下： </...

软件测试的分类（按是否手工划分）

weixin_46196863的博客

11-16

247

文章目录一、手工测试(Manual testing)二、自动化测试(Automation Testing) 一、手工测试(Manual testing) 手工测试就是由人去一个一个的输入用例，然后观察结果，和机器测试相对应，属于比较原始但是必须的一个步骤。优缺点如下：优点：自动化无法替代探索性测试、发散思维结果的测试。缺点：执行效率慢，量大易错。二、自动化测试(Automation Testing) 在预设条件下运行系统或应用程序，评估运行结果，预先条件应包括正常条件和异常条件。简单说自动化测

快速失败 (fail-fast) 和安全失败 (fail-safe)