提及输入框的测试点的分析,我们必然会想想到等价类、边界值等方法进行分析,初次之外,有时候我们还需要考虑一些特殊的情况,具体如下:
1.SQL注入(或说渗透测试)
原理:通过输入特殊的字符串达到修改的后台的SQL语句的目的
构造原则:1)语法通过;2)恒成立条件+or
例子:如遇到:where name =’?’ and passwd=’?'的可以构造如下语句
空格’or 1 = 1 or ‘空格’='空格
'or 1 = 1 or ’ ‘=’
例子解释:首先语法保证完全通过,其次标红部分保证了第二个or前方的恒成立
使用:
一级注入:如果允许输入特殊符号,可以直接输入即可
二级注入:如果不允许输入特殊符号,可以先填写符合要求的,然后通过使用抓包工具打断点,修改传输数据即可。
2.输入提交一个js
例子:
结果:如果对代码没有任何过滤的话,那当获取这个记录的话就会弹出111
输入特殊字符串NULL、null、 空格的转义字 符;<scrīpt></scrīpt>;
;;;< /tr>;;;;
8011
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
