web测试常见安全问题和思路

已于 2024-03-20 22:55:38 修改
阅读量1.8k 收藏 4
点赞数
分类专栏: Web渗透测试基础实验室 文章标签: 安全 渗透测试 web安全
于 2021-03-12 13:31:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43422402/article/details/114693203
版权
本文详细探讨了Web测试中的安全问题,包括登陆页面的安全隐患,如目录扫描、弱口令、XSS和SQL注入。还涉及业务办理模块的订单ID篡改、手机号和用户ID的非法修改。同时,文章讨论了业务授权、输入输出、业务回退、验证码机制、业务数据安全和业务流程的安全测试,揭示了各种潜在的漏洞和攻击手段,并提供了测试思路和案例分析。
摘要由CSDN通过智能技术生成

web测试常见安全问题和思路

登陆页面常见测试问题

目录扫描
端口扫描
弱口令
万能密码
暴力破解
登录框xss
登陆框SQL注入
登陆状态码绕过
用户名枚举
用户名密码明文传输
任意用户注册
批量用户注册
任意用户密码重置
短信接口滥用
邮箱接口滥用
网站源码信息泄露
验证码失效
万能验证码
验证码返回
验证码可识别
验证码缺失
短信验证码可爆破
验证码空
了解本专栏 订阅专栏 解锁全文 超级会员免费看
web产品测试常见问题
后街女孩的博客
04-12 567
web产品的常见问题: 1、分辨率兼容性: 产品的网页通常保证在1024*768的分辨率下显示正常,但是常常忽略800*600分辨率下的情况,还有其他特殊要求的分辨率。 如果页面设计明确只考虑1024*768的需求,则只在1024*768下验证各个产品页面的显示正确无误 2、预防方法: 产品:需要明确产品需要兼容的常见分辨率 开发:网页页面的设计需要正对多种屏幕分辨率制定设计规范,并依...
WEB功能测试常见问题/常见测试问题汇总/通用测试用例/常见功能点总结
bingtanggululu的博客
04-11 219
WEB功能测试常见问题/常见测试问题汇总/通用测试用例
WEB测试常见问题汇总
weixin_34319640的博客
02-21 852
1、翻页 翻页时,没有加载数据为空,第二页数据没有请求 翻页时,重复请求第一页的数据 翻页时,没有图片的内容有时候会引用有图片的内容 2、图片数据为空 图片数据为空时,会保留为空的图片数据位置,没加占位图 3、链接为空 链接为空时,点击图片,会刷新页面 ...
Web安全测试FAQ
zj0910
10-15 1009
Web安全测试FAQ     【FAQ1:如何查看源文件?】 问题描述:如何查看源文件? 解决方案: 1. 一般情况下:在web页面点击右键,在右键菜单中选择“查看源文件”选项。 2. 该web页面的右键功能被锁定:在浏览器的主菜单中找到“查看”,在其下拉列表中选择“查看源代码”选项; 3.该web页面采用没有主菜单的框架设计:建议使用带有“解除右键锁定”插件的浏览器,例如使用遨游
常见的几种Web安全问题测试简介
软件测试技术交流分享
09-01 1390
XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。
Web安全测试常见逻辑漏洞解析
02-25
这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。这个漏洞主要是发生在前端验证处,并且经常发生的位置在于验证码主要发送途径其运行机制如下图所示:黑客只需要抓取R
web自动化测试常见问题操作
weixin_48195174的博客
05-14 372
web自动化测试选择器,处理警告,截屏,滚动操作,窗口切换,验证码跳过过以及cookie的设置
WEB安全测试测试用例(基础)
06-06
WEB安全测试测试用例(基础)
WEB测试常见测试
weixin_46713873的博客
06-12 1709
WEB测试常见测试点 输入框测试 字符型输入框 (1)字符型输入框:英文全半角、数字、空或者空格、特殊字符“~!@#¥%……&*?[]{}”特别要注意单引号&符号。禁止直接输入特殊字符时,使用“粘贴、拷贝”功能尝试输入。 (2)长度检查:最小长度、最大长度、最小长度-1、最大长度+1、输入超长字符比如把整个文章拷贝过去。 (3)空格检查:输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格 (4)多行文本框输入:允许回车换行、保存后再显示能够保存输入的格式、输入回车
Web安全测试方案.pdf
07-06
测试主要包括主动模式被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及相应,以便测试人员掌握应用程序所有的接入点。
WEB安全测试大纲
08-10
web安全大纲 ,SQL注入,XSS注入,敏感信息等应用安全
全网最详细,Web自动化测试的9大问题总结+解决方案...
AFanDa222的博客
06-12 532
1、启动浏览器报错出现以上报错信息,是由于浏览器版本与driver版本不匹配,各版本driver下载地址为:https://npm.taobao.org/mirrors/chromedriver;在进行UI测试之前,一定要先检查自己浏览器的版本,然后找到对应版本的driver,这样才能正常启动浏览器进行测试。2、无匹配元素/元素不可见首先,确认是否设置了合理的等待时间,在web的UI测试过程中,我们需要等待元素加载完成之后,才可以定位到对应的元素;
全网最全,Web测试点详细整理(测试场景举例+常见问题分析)
m0_70102063的博客
06-20 4881
Web测试检查表功能测试、接口测试、性能测试安全测试、兼容性测试1、功能测试测试网页中的所有链接、数据库连接、网页中用于提交或从用户处获取信息的表单、Cookie等。链接:外链。内部链接。同一页面上跳转的链接。邮件 孤立页;表单:每个字段及默认值。错误的输入的处理 可选必选域;Cookie测试:在写入用户机器之前,测试Cookie是否已经加密。如果你正在测试会话cookie(即会话结束后过期的cookie),请检查会话结束后的登录会话用户统计。通过删除cookie来检查对应用安全的影响。
安全测试思路
weixin_30532973的博客
02-24 305
安全测试思路   作为国内做安全最好的公司肯定要问一些安全测试的题。我将我准备的安全测试思路说了一些:   (1)查看这个APP进程中,有没有存在debug info log.   (2)清缓存后,登录不上,说明没有残存cookie.同一账号,记住密码,连续登陆几天,看会不会生效,cookie有时间限制;登陆失败后,不能记录密码的功能.   (3)登录成功后生成的Cookie,是否是...
5年自动化测试经验的一些感悟:做UI自动化一定要跨过这10个坑
测试界的彭于晏的博客
11-22 1280
UI自动化是自动化测试中不可分割的一部分,是黑盒测试的一种重要手段。在UI自动化测试过程中,我们不可避免会遇到各种各样的问题,现将自己在测试过程中遇到的问题进行汇总,希望可以为大家提供帮助。 1、启动浏览器报错 报错信息:Exception in thread "main" org.openqa.selenium.WebDriverException: unknown error: call function result missing 'value' 出现以上报错信息,是由于浏览器版本与dri
移动APP渗透测试方案 展示5个方面总结3种常见漏洞—转载绿盟科技
热门推荐
花米徐xl_lx的专栏
10-31 1万+
移动APP渗透测试方案 展示5个方面总结3种常见漏洞 发布时间:2017年10月26日 10:47    浏览量:1193  绿盟科技这几天连出渗透测试文章,真是干货啊。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说移动APP渗透测试方案,这涉及安全威胁分析及风险、APP安全测试内容及流程、测试要点。 BTW:昨天的 渗透测试 的流程及渗
个人整理的关于安全的一个基本思路-***测试
weixin_34237596的博客
07-27 71
***测试定义:一般是指 为了目标网络的安全性进行实际的检查,进行带有***性行为的全面安全压力测试。是评估主机网络安全性时魔方***特定***行为的过程发现系统的脆弱环节的过程一般手段途径端口扫描,密码猜测,密码破解,数据窃听,伪装欺诈等技术一般分 黑盒测试白盒测试黑盒:最初信息来自于DNS,WEB,EMAIL 或者公开服务器白盒:代码***流程1、基本网络信息获取...
软件测试常见测试思路
最新发布
01-05
### 软件测试常见思路 #### 功能验证 确保软件实现的功能与需求规格说明书中定义的一致。这涉及到对每一个功能点进行单独验证,确认其行为是否符合预期[^3]。 #### 性能评估 性能测试旨在衡量系统的响应时间资源利用率,在不同负载条件下保持稳定性效率。这类测试通常会模拟大量并发用户访问来观察应用的表现。 #### 安全审查 安全测试专注于发现潜在的安全漏洞,比如SQL注入、跨站脚本攻击(XSS)等风险点,并采取措施加以防范。 #### 用户体验考量 用户体验(UX)测试关注的是界面友好度以及操作流程合理性等方面的内容,通过实际用户的反馈不断优化产品设计。 #### 兼容性检测 为了保证应用程序能够在多种环境下正常运行,兼容性测试必不可少。这里所说的环境不限于操作系统平台,还包括浏览器种类及其版本号等因素的影响。 --- ### 测试方法论 #### 黑盒法 黑盒测试也称为数据驱动测试或基于规范的测试,不考虑内部结构而只关心输入输出之间的关系。这种方法适用于任何层次上的单元、集成乃至系统级别的检验活动当中去[^1]。 #### 白盒法 白盒测试则深入到代码层面来进行详尽分析,包括路径覆盖、分支覆盖率等多种指标统计方式。此类技术对于提高程序质量有着重要意义,尤其是在开发初期阶段尤为适用。 #### 灰盒法 介乎两者之间的一种折衷方案就是灰盒测试了——既可以看到部分源码又不必完全依赖于此;既可以利用外部视角也可以借助一些内部知识辅助完成任务。 --- ### 自动化框架概述 自动化工具能够显著提升工作效率并减少人为错误的发生概率。例如 `Requests` 这样的HTTP库可以帮助构建高效的API接口调用链路,简化网络请求过程的同时增强了可读性维护便利程度[^4]。 此外还有Selenium WebDriver用于Web页面交互式的UI层面上的操作录制回放机制;Appium针对移动设备端提供了类似的解决方案等等。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HACKNOE

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值