- 博客(52)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 安全测试之没有限制URL访问
一、没有限制URL访问的概念这里所说的没有限制URL访问,包括两个方面:一方面是确实应用没有对URL的访问做出限制,另一方面是程序对URL的访问做出了限制,但是限制没有起到作用。这两种情况都可以导致攻击者访问一些未授权的页面,查询到本不该查询到的信息等。二、没有限制URL访问体现在哪些方面?对URL除了可以做SQL注入和XSS注入之外(这这种情况归结到XSS注入和SQL注入攻击,这里不再详细说明)。
2016-01-30 17:07:38
4153
原创 安全测试之不安全的加密存储
不安全的加密存储,不仅局限于没有对密码等需要保护的字段进行加密之外,还包括加密算法太弱,很容易就可以破解。一、加密弱点使用不安全的加密算法。加密算法强度不够,一些加密算法甚至可以用穷举法破解。加密数据时密码是由伪随机算法产生的,而产生伪随机数的方法存在缺陷,使密码很容易被破解。身份验证算法存在缺陷。客户机和服务器时钟未同步,给攻击者足够的时间来破解密码或修改数据。未对加密数据进行签名,导致
2016-01-29 19:39:38
3091
原创 安全测试之安全配置错误
一、安全配置错误的概念Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护,甚至需要进行加密,如果没有进行保护就直接可以查看,那么很容易造成严重的安全问题,这就是安全配置错误。二、安全配置错误的实例数据库的帐号是不是默认为“admin”,密码(还有端口号)是不是直接写在配置文件里而没有进行加密,这些都是属于安全配置错误,会对应用的安全问题造成威胁。三、测试对象多级目录地址网站
2016-01-28 19:13:18
3202
原创 安全测试之XSS跨站脚本攻击
一、跨站脚本攻击的概念跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。举个比较常见的网络上的一个例子,某个论坛或者页面上有个广告,网址是zhengpin.taobao.com,你点击进去,你看是购物网站,又是淘宝的,你就进去购买了
2016-01-28 13:52:16
10243
1
原创 安全测试之不安全的直接对象引用
一、不安全的直接对象引用的概念不安全的对象直接引用(Insecure direct object references),指一个已经授权的用户,通过更改访问时的一个参数,从而访问到了原本其并没有得到授权的对象。二、不安全的直接对象引用出现的原因Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目标对象访问时来检查用户权限,所以这就造成了不安全的对象直接引用的漏洞。服务器上的具体文
2016-01-28 13:37:30
7119
2
原创 TCP和UDP的异同点
这篇文章整理了TCP和UDP的相同点和不同点,没有非常详细地对TCP和UDP进行讲解,是一些总结性内容。一、TCP和UDP的概念TCP(Transmission Control Protocol),传输控制协议。UDP(User Data Protocol),用户数据报协议。二、TCP和UDP的异同点1. TCP和UDP的相同点: TCP和UDP都是在网络层,都是传输层协议,都能都是保护网络
2016-01-28 12:10:21
33634
1
原创 安全测试之跨站请求伪造(CSRF)攻击
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
2016-01-28 09:27:35
6967
原创 接口测试:验证码的测试
说明一下,本文整理自昨晚的一节网络视频公开课。一、验证码的类型验证码可以分为:短信验证码、图形验证码、语音验证码、答题验证码。 1、短信验证码:输入手机号码,获得验证码,一般验证码为数字。 2、图形验证码:网页中注册、登录等使用的验证码,一般是服务器后端生成的验证码后,将验证码绘制生成图片。 3、语音验证码:服务器利用语音技术生成的验证码。 4、答题验证码:如12306等网站,从题库中随机选
2016-01-27 09:12:30
16479
原创 安全测试之XPath注入攻击
一、XPath注入攻击的概念Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。 XPath注入攻击,是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关
2016-01-26 16:20:37
13795
原创 安全测试之SQL注入攻击
一、SQL注入攻击的概念 首先说一下,攻击者之所以可以利用自己输入的数据来达到攻击网站的目的,原因就在于SQL语言作为一种解释型语言,它的数据其实是由程序员编写的代码和用户提交的数据共同组成的。正是因为这个原因,攻击者可以构造对自己有利的数据,利用网站的一些SQL漏洞来达到恶意的目的。 SQL注入,就是指攻击者将恶意的字符串或者语句等信息作为参数输入,服务器在验证这个字段的时候,读取攻击者输入的
2016-01-26 13:50:11
16420
1
转载 浅谈网站失效的认证和会话管理
身份认证和会话管理: 在进一步解释这种危险的漏洞之前,让我们了解一下身份认证和会话管理的基本知识。身份认证,最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。 会话管理,HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份
2016-01-26 11:01:01
7755
原创 安全测试主要类型
本篇博文主要介绍安全测试的主要类型,及其最基本的概念,不涉及到每一安全类型的详细内容,每一类型的详细内容将在后续的博文中分开详细讲解。安全测试类型表格 如下: 类型 简单描述 失效的身份验证机制 只对首次传递的Cookie加以验证,程序没有持续对Cookie中内含信息验证比对,攻击者可以修改Cookie中的重要信息以提升权限进行网站数据存取或是冒用他人账号取得个人私密资料(测试对象:
2016-01-26 08:58:15
9998
原创 Session过期
1. Session过期的定义:Session:在计算机中,尤其是在网络应用中,称为“会话”。在计算机专业术语中,Session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。具体到Web中的Session指的就是用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间,即在规定的时间内无请求操作,即为
2016-01-25 14:49:23
15259
2
原创 Html: src中图片内容以“http”开头
以“http”开头的图片是来源于网络,如果本地的图片,可以将其先上传到云端(有各种云存储网站,qq空间等也可以),然后复制其网址,这个网址就是src下的图片来源。
2016-01-25 14:46:13
2065
原创 购买价格与商品价格和SKU价格的关系
有的商品有多个sku价格,例如,一件衣服有S,M和 L三种型号,有红色,蓝色和黑色三种颜色,那么它的sku组合是:S红色,S蓝色,S黑色,M红色,M蓝色,M黑色,L红色,L蓝色,L黑色这几个,对应的每一个sku下面有一个价格(价格也可以相同),那么通常情况下的场景是这样:在没有选择相应的sku时,会显示配置的商品价格,一旦选中了sku,商品价格失效,sku作为最终决定价格。Note:1.
2016-01-25 14:43:33
8258
1
原创 软件开发: hard code是什么及其作用
1. 官方解释:在计算机程序或文本编辑中; hardcode(这个词比hard code用起来要频繁一些)是指将可变变量用一个固定值来代替的方法。用这种方法编译后; 如果以后需要更改此变量就非常困难了。大部分程序语言里; 可以将一个固定数值定义为一个标记 。2. hard code是指“硬编码”,即将数据直接写在代码(程序)中。也就是,在程序中,直接给变量赋值。指的是在软件实现
2016-01-25 14:39:15
48203
4
原创 手机分辨率导致文字显示不完整的问题
1.你手机的分辨率大,软件支持的分辨率小就会出现部分屏幕局部黑屏,如果软件支持的分辨率大于你的手机,那要么就不能显示就算能显示也只显示局部。2.分辨率320×480的意思是水平像素数为320个,垂直像素数480个。分辨率越高,像素的数目越多,感应到的图像越精密。而在屏幕尺寸一样的情况下,分辨率越高,显示效果就越精细和细腻。3. 下面是几款手机的分辨率,现有一个实例是:同样的代码(设置了同...
2016-01-25 14:37:12
6736
原创 《探索式软件测试》中提到的几种需要测试的情况
1, 对于输入值的测试:(1)空值,什么都不输入的情况下。(2)若表单原来就有默认值,则: A. Default value的测试。 B. 删除默认值之后的空值测试。 C. 测试默认值附近的一些其他值: C.1 如果是一个数值字段,试试比默认值大1或者小1的数。 C.2 如果是一个字符串字段,试试修改默认字符串头部的几个字符,
2016-01-25 14:10:22
548
原创 测试中的用词积累
1. place holder: 指代那些text field默认显示的一些提示信息,也可称为tip message e.g. The place holder in the "Password" text field is incorrect. Actual Result: The place holder is displayed as "P
2016-01-25 14:00:42
841
原创 URI、URL和URN的区别
1,URI(uniform resource identifier):统一资源标识URL(uniform resource locator):统一资源 定位URN(uniform resource name):统一资源名称2.URI是以一种抽象的,高层次概念定义统一资源标识,而URL和URN则是具体的资源标识的方式。URL和URN都是一种URI。3.URI可以分
2016-01-25 13:59:27
964
原创 抓包工具Fiddler的使用(2):Fiddler抓包之后的数据分析
1. 首先分析Fiddler抓取的一个Android端的记录(如果使用fiddler访问PC端,因为fiddler默认是IE浏览器,所以应该使用的是IE,如果使用Firefox等,应该需要先设置代理,具体设置原理,同Android设备,请见上一篇博文[抓包工具Fiddler的使用(1)])*Fiddler的参考文档网址:http://docs.telerik.com/fiddler
2016-01-25 13:48:05
26691
1
原创 抓包工具Fiddler的使用(1):Fiddler以及Android端设置
Precondition: 本软件是利用设置代理,在电脑端可以查看利用Fiddler工具可以查看到Android的APP请求的一些信息。一、首先是Fiddler的下载下载地址: http://fiddler2.com/get-fiddler或者直接在百度上搜索关键字:Fiddler下载二、Fiddler的设置1. 打开Fiddler Options的设置选项,Tool
2016-01-25 13:16:00
2724
原创 Jmeter工具中的专有名词解释
1. Sample:负责发出请求及响应数据。2. 线程组页面的Ramp-Up Period:指的是时间间隔,即一个请求发送并且接收完毕之后一直到第二个请求发出的时间间隔。3. 工作台的作用: 可以录制脚本等4. setUp Thread Group、 tearDown Thread Group和线程组:一般setUp Thread Group是用于启动线程组,接着是tearDown
2016-01-25 12:40:57
1825
原创 性能测试主要测哪些情况
1. 比较平常的,经常可以用到的场景。2. 响应时间比较长(并不是指smoke测试,可能是需要从smoke测试的一些场景中抽取更加重要的场景来进行测试)。3. 对性能有比较高的要求,例如,淘宝双11,不同用户同一时间购买商品的下单操作。
2016-01-25 12:39:34
1973
转载 压力测试、负载测试、容量测试和强度测试的区别
注:以下摘自:http://www.cnblogs.com/shizhi57/p/3557851.htmlStree Testing(压力测试)检查被测系统在恶劣环境下的表现,比如内存不足,CPU高负荷,网速慢,等等。在这种情况下,被测系统往往运行缓慢,能暴露许多在高速运行时不易发生的问题,例如线程不同步。 压力测试是测试系统在非正常的、超负荷的条件下的运行情况 ,用来评估在超
2016-01-25 12:34:44
2207
1
原创 web网站响应时间的评判标准
观点1:来自《软件测试技术大全》一书响应时间在4秒以内,大部分用户可以接受;4~9秒以内,30%的用户选择离开;8~9秒,则有60%的用户选择离开;超过10秒,则90%以上的用户选择离开。观点2:在2秒之内给客户响应被用户认为是“非常有吸引力”的用户体验。在5秒之内给客户响应被用户认为是“比较不错”的用户体验。在10秒之内给客户响应被用户认为是“
2016-01-25 12:33:40
29263
1
原创 JMeter特殊情况二:针对某些请求数据每次请求都是变化的情况
概要:某些post请求,例如,登录的请求除了有我们再页面上需要输入的一些值(用户名、密码、是否记住密码等)之外,还有其他的参数,例如token等等,而且这些参数不固定,也就是说每一次post请求这些参数都不一样,那么针对这样的请求,我们就不能够直接给参数赋值,而需要动态获取参数的值,进而传递给post请求这个动态获取的值。1. 下面是一个csdn网站登录的审查元素:其中username,p
2016-01-25 12:29:19
10747
5
原创 Jmeter特殊情况一:登录请求中密码加密的情况
如果使用jmeter模拟一个oschina(开源中国)登录请求,普通的登录请求在之前有讲过,这里不再细说,主要是针对加密的密码,面对这种情况,如果使用之前的方法,不能够请求成功,这里需要注意一点,在HTTP信息头管理器里面添加一个元素User-Agent,通过观察发现jmeter默认地user-agent是Apache-HttpClient/4.2.6 (java 1.5),而通过浏览器观察发现u
2016-01-25 12:14:10
7648
4
原创 小测试点积累
一、分享链接的问题在测试分享相关内容的时候,注意几个测试点:(1)应用端能否分享成功(2)分享端能否接收到分享消息(3)分享端接收到的图片、信息等是否一致(4)分享端接收的域名是否正确(有时候图片信息一致,域名不正确也是bug,图片信息正确可能是因为这两个域名下对应id的图片信息等一致,所以表面看起来分享的信息是正确的,但本质上是不正确的)Note:查看域名
2016-01-25 12:07:12
964
原创 软件测试:购买商品类测试不可忽略的问题
1. 若同一个账号在不同设备上同时下单 1.1 使用同一个地址、不同地址 1.2 使用同一种支付方式、不同种支付方式 1.3 一个设备上定位到购买页面准备付款,另一个设备把购物车清空,此时应该有类似“该页面已经过期了,请返回购物车查看”之类的友好提示。 (若没有message提示之类的,优先级是稍微低一些的,但是如果同时下两单,并且全部下成功了,这就是一个优先级比价高的bu
2016-01-25 11:05:27
3053
原创 软件测试:电商类应用的smoke测试流程
测试点如下:(Smoke测试只需要输入valid的数据)1. 使用valid的用户名和密码可以登录成功2. 使用valid的information可以注册成功3. product等可以打开,可以查看,可以加入购物车4. 买入:若有线上和线下支付方式,要分别使用线上和线下测试(若线上或线下分别有很多种,则只需要线上线下各测试一种即可)5. profile的修改,密码等能不能修改成
2016-01-25 11:02:19
2651
原创 测试杯子(微软的一个软件测试面试题目)
*以上摘自:《软件测试技术大全》一书。从软件质量的各个属性进行分析,(1)测试项目:杯子(2)需求测试:查看杯子使用说明书,是否有遗漏(3)界面测试:查看杯子外观,是否变形(4)功能性:用水杯装水看漏不漏;水能不能被喝到(5)安全性:杯子有没有毒或细菌(6)可靠性:杯子从不同高度落下的损坏程度(7)可移植性:杯子在不同的地方、温度等环境下是否都可以正常使用
2016-01-25 10:58:04
5547
转载 Web常用功能测试总结
摘自:http://www.51testing.com/html/83/n-3699483.html 【新增】 新增一条记录(输入所有字段) Cancel或者Close验证 页面默认值验证 页面必填字段验证(检查内容:必填标识、输入空格、输入Null、不输入内容) 联动关系验证(页面内元素) 下拉框数据来源验证 下拉框中的内容是否正确、没有丢失
2016-01-25 10:55:55
796
转载 WEB功能测试方法
功能测试就是对产品的各功能进行验证,根据功能测试用例,逐项测试,检查产品是否达到用户要求的功能。常用的测试方法如下:1、页面链接检查:每一个链接是否都有对应的页面,并且页面之间切换正确。可以使用一些工具,如LinkBotPro、File-AIDCS、HTML Link Validater、Xenu等工具。LinkBotPro不支持中文,中文字符显示为乱码;HTML Link Validater
2016-01-25 10:53:12
4953
转载 图形用户界面( GUI )基本测试内容
GUI基本测试内容图形用户界面( GUI )对软件测试提出了有趣的挑战,因为 GUI 开发环境有可复用的构件,开发用户界面更加省时而且更加精确。同时, GUI 的复杂性也增加了,从而加大了设计和执行测试用例的难度。因为现在 GUI 设计和实现有了越来越多的类似,所以也就产生了一系列的测试标准。下列问题可以作为常见 GUI 测试的指南:窗口:· 窗口是否基于相关的输入和菜单命令适当地打...
2016-01-25 10:51:43
5056
原创 Fiddler中response乱码的解决方案
有时候我们看到Response中的HTML是乱码的, 这是因为HTML被压缩了, 我们可以通过两种方法去解压缩。解决方案1:点击Response Raw上方的"Response is encoded any may need to be decoded before inspection. click here to transform"。解决方案2:选中工具栏中的"Decode"。 这
2016-01-25 10:20:45
41634
6
原创 RUP(Rational Unified Process, Rational统一过程, 统一软件开发过程)的测试分类
一、可靠性(1)完整性测试完整性测试侧重于评估测试对象的强壮性(防止失败的能力),语言、语法的技术兼容性以及资源利用率的测试。该测试针对不同的测试对象实施和执行,包括单元和已集成单元。(2)结构性测试结构性测试侧重于评估测试目标是否符合其设计和构造的测试。通常对基于web的应用程序执行该测试,以确保所有链接都已连接、显示正确的内容,以及没有孤立的内容。二、功能
2016-01-25 10:15:46
1142
转载 web测试方法总结
一、输入框1、字符型输入框:(1)字符型输入框:英文全角、英文半角、数字、空或者空格、特殊字符“~!@#¥%……&*?[]{}”特别要注意单引号和&符号。禁止直接输入特殊字符时,使用“粘贴、拷贝”功能尝试输入。(2)长度检查:最小长度、最大长度、最小长度-1、最大长度+1、输入超工字符比如把整个文章拷贝过去。(3)空格检查:输入的字符间有空格、字符前有空格、字符后有空格、字符前
2016-01-25 10:07:23
1075
转载 Compatibility Testing
Excerpts from "http://www.guru99.com/".一、Types of compatibility testsHardware : It checks software to be compatible with different hardware configurations .Operating Systems: It checks your
2016-01-25 10:05:01
1052
原创 简介:接口测试的分类、工具和接口测试应该测什么
一、接口测试有哪些?常见的有:API(Application Programming Interface,应用程序编程接口)、JDBC数据库接口、MySQL Connector.二、接口测试的作用?1. 发现接口存在的问题2. 明确产品的状态信息三、接口测试的工具?1. Postman -- 最简单,可用于测试接口能不能走得通2. SoapUI -- 不需要手动编写
2016-01-25 10:03:09
12951
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人