web安全测试1 注意点以及遗留问题

最新推荐文章于 2024-09-11 13:50:45 发布
最新推荐文章于 2024-09-11 13:50:45 发布
阅读量136 收藏
点赞数
文章标签: mysql 网络安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seasonTURN/article/details/119907192
版权
本文探讨了Web安全测试中的SQL注入问题,包括单双引号的使用、URL特殊字符的编码以及MySQL中的分组和UNION操作。还提到了如何获取当前数据库、利用%23进行注释以及通过URL解码工具解析地址。
摘要由CSDN通过智能技术生成

1.sql注入中,引号是成对出现的,但是单引号和双引号同时使用并不会报错,比如password=‘123”’

 

1.1下图是单双引号判断的遗留问题

2.在网址输入中如果想要表示#,可以输入%23(表示可以注释掉后面的内容)。如果写的一个网址是/?id=2 %23就可以注释掉源代码2后面的内容。

3.MySQL中如果想以字段分组,除了可以写order by password还可以写order by 3,执行结果是一模一样的证明,3就代表第三个字段(列)也就是password那一个字段(列)。

4.MySQL中union的用法:字段数必须前后一致。

5.MySQL中写select database()表示当前数据库

6.若需要访问当前文件夹的路径可以直接在当前文件的界面打开终端。

7.URL(Uniform Resource Location)地址理解:可以用URL编码工具(解码网址)

   

seasonTURN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业级Web安全渗透测试之SSL篇.pdf
07-14
总的来说,企业级Web安全渗透测试之SSL篇强调了SSL/TLS在保障Web服务安全中的核心地位,以及测试和维护这些协议的重要性。通过全面的测试和严格的安全策略,可以降低网络攻击的风险,保护企业和用户的数据安全。
测试文档写作-测试报告(上)
某技术爱好者的专栏
12-27 1993
测试报告         测试报告是测试活动的一个总结。它指定了测试活动的结果,并依据这些结果对测试活动作出评价。测试报告应该包含但不限于以下核心内容:测试了哪些质量特性及评价测试是否充分或是否达到出口标准、测试中出现了那些问题并对这些问题的影响做评价、整个测试活动是否通过、是否成功并作出评价。
mybatis demo之查询测试遗留问题
qq_634380940的博客
02-18 211
回顾前文,UserMapper.xml的mapper内容如下: <mapper namespace="UserMapper"> <select id="selectUserById" parameterType="Integer" resultType="com.zzz.bean.User"> select * from user where u_id = #{id} </select> <select id="selectUserByName"
测试人员经常隐藏的的遗漏````````
L-Wolf
05-13 567
通常软件测试会暴露软件中的缺陷,经过修正后可以保证软件系统的功能满足需求并正确运行。但是,在系统测试和确认测试中,测试人员容易遗漏一些隐藏的缺陷。众所周知,软件测试不可能发现所有的缺陷,而软件开发周期各个阶段仍然存在注入缺陷的可能,但是,有一些缺陷是测试中容易忽略的,也就是说,通过测试方法和用例可以充分暴露这些缺陷,遗憾的是,它们往往被忽略或者某种原因忘记测试了,这就给软件留下了隐患或者危机。这些
SQL注入之注入原理
千寻的博客
07-31 395
文章目录注入原理-基础实验实验目的实验环境实验内容实验一:字符型注入实验二:联合注入免责声明 注入原理-基础实验 实验目的 1、掌握SQL注入基本原理; 2、掌握万能密码的原理和操作; 3、掌握手工注入(联合注入和字符型注入等)。 实验环境 目标机:Ubuntu 14 LAMP(Apache+Mysql+PHP) 目标机ip:172.16.12.2 实验内容 1、访问172.16.12.2 2、万能密码登录 'or 1=1# 3、登陆后有两个注入实验,进行手工注入 实验一:字符型注入 使用
在软件测试工作中遇到的遗留问题汇集
sun_977759的博客
04-29 1835
有大神看到求帮忙解答下,主要是为了提醒自己还有哪些已知问题却没得到答案的 1、mysql查询表大小时对查询的结果进行了sum处理,为什么?具体描述见表大小遗留问题 2、rf的post请求里面data和params传参的问题具体描述见rf的post请求遗留问题 什么时候用data传参?什么时候用params传参? 为什么没加headers,我用params传参都成功了(除了上面这个说头...
Web应用代码安全编写注意事项
12-08
### Web应用代码安全编写注意事项 #### 一、SQL注入 **说明:** SQL注入是一种常见的安全漏洞,当应用程序使用用户提供的数据构建SQL查询时,如果未正确验证或清理用户输入,攻击者可以插入恶意SQL代码来操纵...
测试中的常见问题
02-01
OWASP提供了一系列的安全测试指南和工具。 5. **回归测试**: 当代码或功能发生变化时,确保原有功能未受影响。使用合适的测试策略,如基于风险的测试,可以更高效地执行回归测试。 **基础知识部分** 1. **测试...
服务器安全防范大全.doc
06-29
### 服务器安全防范大全知识详解 #### 一、安装 Win 200x 安全概览 **1. 硬盘分区的文件系统选择** - **使用多分区分别管理不同内容** - **分区1(系统分区)**:安装系统及重要日志文件。 - **分区2**:供...
Qt ActiveX测试代码
01-04
同时,由于ActiveX的安全问题和现代Web技术的发展,它的使用逐渐减少,但在某些遗留系统或特定Windows应用中,ActiveX仍然是一个重要的技术。 总的来说,这个“Qt ActiveX测试代码”提供了一个基础示例,帮助开发者...
软件测试报告实例
04-27
软件测试报告实例
接口测试遗留问题
weixin_33910385的博客
06-13 279
-----------------------------------断言传参:1.正确的情况2.未登录的情况3.必选参数没有填写等 key value值都不填写 ;填写key ,value值不填写 填写value,key不填写4.边界值5.特殊字符6.需要添加的参数描述;7.resultMsg是否正确---------------------------------------------接...
测试人员如何降低产品的缺陷
飞翔的专栏
07-27 1490
1、需求评审阶段 1、根据需求文档查找是否与当前业务冲突的需求; 2、从用户体验角度出发,检查是否符合用户的使用习惯; 3、将需求细分功能,将功能进行优先级排序; 4、需求进行安全风险评估; 5、检查需求前后逻辑的一致性; 6、分析关键词,深入分解细化需求; 7、尽可能的还原用户的真实想法; 8、不能在不告知用户的情况下,修改用户某些信息; 2、设计评审阶段 代...
测试问题原因分类
jumpserver_1的博客
10-21 888
一, 背景: 目前公司的产品都是增量式研发,随着研发测试工作持续进行,随时会引入生产问题,导致严重后果。 二, 目标: 需要针对目前各种纷繁复杂生产问题归纳分类,便于指导后续研发测试流程内容工作优化改进,达成更好质量目标。 二,内容: 1, 需求阶段问题: 产品设计问题。 产品与业务沟通确认。 2, 研发阶段问题: 架构设计问题。 第三方服务问题。 接口设计问题。 架构性能问题。 代码分支管理问题。 版本升级导致问题。 开发联调缺失导致。 研发代码搭车夹带。 数据库脚本设计问题。 3, 测试阶段问题: 界面
关于我testng的遗留问题
jessie1984的博客
08-28 122
虽然是弄了近2个星期的testng,但作为一个经验还不是很丰富的programmer来说遇见问题是很正常的事,所以我也就原谅自己有解决不了的问题,当然如果你在这方面知之甚多,请帮忙我,留下你宝贵的意见,jessica将感激不尽: 我有2个比较弱的问题: 1 :我们现在用的都是通过DBUnit把测试数据向真实的数据库里注入数据进行测试的,那么我要是不用测试数据,直接用数据库里的数据进行测试可...
MySQL表操作及约束
2301_77479435的博客
09-06 1096
MySQL表操作及约束
深入解析Go语言中的条件控制与数据处理
一个被知识诅咒的人
09-08 1156
本文详细介绍了Go语言中的switch语句及其在正则表达式匹配中的应用,探讨了如何通过math/big包进行高精度圆周率计算。此外,文章还展示了如何实现一个简易键值对存储系统,并通过encoding/json和encoding/xml包处理常见的JSON和XML数据格式。通过这些示例和知识,读者将能掌握Go语言中条件控制和数据处理的高级应用,提升编写高效代码的能力。
MySQL record 03 part
m0_47505062的博客
09-08 933
注意,百分号和下划线在MySQL中都是被当作通配符来使用的,因此当要匹配的字符是百分号和下划线本身的时候,也就是你要搜索百分号和下划线本身的时候,要将百分号和下划线转义成普通字符,方法是使用右斜线。更灵活,当 DELETE FROM 不指定where时,时删除所有表记录,而指定where时则是删除指定的符合where条件的记录。一般情况下,向表中添加新的记录,应该包含此表的所有字段,也就是应该给表的所有字段添加值,也有2种方式,指定字段和不指定字段,这里使用的是不指定字段的方式,
基于SpringBoot+Vue+MySQL的教学资源共享平台
最新发布
程序员大金的博客
09-11 553
基于SpringBoot+Vue+MySQL的教学资源共享平台,附源码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值