web测试常见安全问题和思路

已于 2024-03-20 22:55:38 修改
阅读量1.7k 收藏 4
点赞数
分类专栏: Web渗透测试基础实验室 文章标签: 安全 渗透测试 web安全
于 2021-03-12 13:31:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43422402/article/details/114693203
版权
本文详细探讨了Web测试中的安全问题,包括登陆页面的安全隐患,如目录扫描、弱口令、XSS和SQL注入。还涉及业务办理模块的订单ID篡改、手机号和用户ID的非法修改。同时,文章讨论了业务授权、输入输出、业务回退、验证码机制、业务数据安全和业务流程的安全测试,揭示了各种潜在的漏洞和攻击手段,并提供了测试思路和案例分析。
摘要由CSDN通过智能技术生成

web测试常见安全问题和思路

登陆页面常见测试问题

目录扫描
端口扫描
弱口令
万能密码
暴力破解
登录框xss
登陆框SQL注入
登陆状态码绕过
用户名枚举
用户名密码明文传输
任意用户注册
批量用户注册
任意用户密码重置
短信接口滥用
邮箱接口滥用
网站源码信息泄露
验证码失效
万能验证码
验证码返回
验证码可识别
验证码缺失
短信验证码可爆破
验证码空
了解本专栏 订阅专栏 解锁全文 超级会员免费看
HACKNOE
关注
专栏目录
订阅专栏
web产品测试常见问题
后街女孩的博客
04-12 557
web产品的常见问题: 1、分辨率兼容性: 产品的网页通常保证在1024*768的分辨率下显示正常,但是常常忽略800*600分辨率下的情况,还有其他特殊要求的分辨率。 如果页面设计明确只考虑1024*768的需求,则只在1024*768下验证各个产品页面的显示正确无误 2、预防方法: 产品:需要明确产品需要兼容的常见分辨率 开发:网页页面的设计需要正对多种屏幕分辨率制定设计规范,并依...
WEB功能测试常见问题/常见测试问题汇总/通用测试用例/常见功能点总结
bingtanggululu的博客
04-11 198
WEB功能测试常见问题/常见测试问题汇总/通用测试用例
改变您的HTTP服务器的缺省banner
weixin_30580943的博客
01-23 2730
(以下方法针对 IIS Asp.net) 服务器扫描发现漏洞,其中一个是: 可通过HTTP获取远端WWW服务信息 [Microsoft-IIS/8.5] 漏洞描述 本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。解决方案 NSFOCUS建议您采取以下措施以降低威胁 打开网页,审查代码,我们发现这几个标头...
WEB测试常见问题汇总
weixin_34319640的博客
02-21 830
1、翻页 翻页时,没有加载数据为空,第二页数据没有请求 翻页时,重复请求第一页的数据 翻页时,没有图片的内容有时候会引用有图片的内容 2、图片数据为空 图片数据为空时,会保留为空的图片数据位置,没加占位图 3、链接为空 链接为空时,点击图片,会刷新页面 ...
Web安全测试FAQ
zj0910
10-15 1000
Web安全测试FAQ     【FAQ1:如何查看源文件?】 问题描述:如何查看源文件? 解决方案: 1. 一般情况下:在web页面点击右键,在右键菜单中选择“查看源文件”选项。 2. 该web页面的右键功能被锁定:在浏览器的主菜单中找到“查看”,在其下拉列表中选择“查看源代码”选项; 3.该web页面采用没有主菜单的框架设计:建议使用带有“解除右键锁定”插件的浏览器,例如使用遨游
常见的几种Web安全问题测试简介
软件测试技术交流分享
09-01 1379
XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。
Web安全测试常见逻辑漏洞解析
02-25
这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。这个漏洞主要是发生在前端验证处,并且经常发生的位置在于验证码主要发送途径其运行机制如下图所示:黑客只需要抓取R
web自动化测试常见问题操作
weixin_48195174的博客
05-14 359
web自动化测试选择器,处理警告,截屏,滚动操作,窗口切换,验证码跳过过以及cookie的设置
WEB安全测试测试用例(基础)
06-06
WEB安全测试测试用例(基础)
Web安全测试方案.pdf
07-06
测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及相应,以便测试人员掌握应用程序所有的接入点。
WEB安全测试大纲
08-10
web安全大纲 ,SQL注入,XSS注入,敏感信息等应用安全
WEB测试常见测试
weixin_46713873的博客
06-12 1700
WEB测试常见测试点 输入框测试 字符型输入框 (1)字符型输入框:英文全半角、数字、空或者空格、特殊字符“~!@#¥%……&*?[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时,使用“粘贴、拷贝”功能尝试输入。 (2)长度检查:最小长度、最大长度、最小长度-1、最大长度+1、输入超长字符比如把整个文章拷贝过去。 (3)空格检查:输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格 (4)多行文本框输入:允许回车换行、保存后再显示能够保存输入的格式、输入回车
全网最详细,Web自动化测试的9大问题总结+解决方案...
AFanDa222的博客
06-12 497
1、启动浏览器报错出现以上报错信息,是由于浏览器版本与driver版本不匹配,各版本driver下载地址为:https://npm.taobao.org/mirrors/chromedriver;在进行UI测试之前,一定要先检查自己浏览器的版本,然后找到对应版本的driver,这样才能正常启动浏览器进行测试。2、无匹配元素/元素不可见首先,确认是否设置了合理的等待时间,在web的UI测试过程中,我们需要等待元素加载完成之后,才可以定位到对应的元素;
全网最全,Web测试点详细整理(测试场景举例+常见问题分析)
最新发布
m0_70102063的博客
06-20 4715
Web测试检查表功能测试、接口测试、性能测试安全测试、兼容性测试1、功能测试测试网页中的所有链接、数据库连接、网页中用于提交或从用户处获取信息的表单、Cookie等。链接:外链。内部链接。同一页面上跳转的链接。邮件 孤立页;表单:每个字段及默认值。错误的输入的处理 可选和必选域;Cookie测试:在写入用户机器之前,测试Cookie是否已经加密。如果你正在测试会话cookie(即会话结束后过期的cookie),请检查会话结束后的登录会话和用户统计。通过删除cookie来检查对应用安全的影响。
安全测试思路
weixin_30532973的博客
02-24 293
安全测试思路   作为国内做安全最好的公司肯定要问一些安全测试的题。我将我准备的安全测试思路说了一些:   (1)查看这个APP进程中,有没有存在debug 和info log.   (2)清缓存后,登录不上,说明没有残存cookie.同一账号,记住密码,连续登陆几天,看会不会生效,cookie有时间限制;登陆失败后,不能记录密码的功能.   (3)登录成功后生成的Cookie,是否是...
5年自动化测试经验的一些感悟:做UI自动化一定要跨过这10个坑
测试界的彭于晏的博客
11-22 1261
UI自动化是自动化测试中不可分割的一部分,是黑盒测试的一种重要手段。在UI自动化测试过程中,我们不可避免会遇到各种各样的问题,现将自己在测试过程中遇到的问题进行汇总,希望可以为大家提供帮助。 1、启动浏览器报错 报错信息:Exception in thread "main" org.openqa.selenium.WebDriverException: unknown error: call function result missing 'value' 出现以上报错信息,是由于浏览器版本与dri
移动APP渗透测试方案 展示5个方面总结3种常见漏洞—转载绿盟科技
热门推荐
花米徐xl_lx的专栏
10-31 1万+
移动APP渗透测试方案 展示5个方面总结3种常见漏洞 发布时间:2017年10月26日 10:47    浏览量:1193  绿盟科技这几天连出渗透测试文章,真是干货啊。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说移动APP渗透测试方案,这涉及安全威胁分析及风险、APP安全测试内容及流程、测试要点。 BTW:昨天的 渗透测试 的流程及渗
走进Web安全:白帽子的视角
4. 安全开发流程:介绍了在软件开发生命周期(SDLC)中融入安全元素的方法,如安全需求分析、代码审查和安全测试。 5. 安全运营:讲解了如何进行持续监控、事件响应和应急处理,确保系统的长期稳定和安全。 6. ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HACKNOE

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值