Web安全测试—12逻辑测试与Class文件反编译测试

最新推荐文章于 2024-07-15 16:15:44 发布
最新推荐文章于 2024-07-15 16:15:44 发布
阅读量47 收藏
点赞数
分类专栏: Web测试 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxiumei_/article/details/134710331
版权

逻辑测试

本测试无法给出很具体的测试指导,在测试中可以根据下列方法进行测试:

首先,测试人员应尽量理解业务系统。

其次,提炼各种业务场景和工作流程

然后,设计业务逻辑测试,设计时可参考以下原则:

  1. 对用户行为顺序处理不当,例如:某个网上申报流程,首先验证用户名和口令,正确后跳到下一步流程输入页面,然后再到下一步提交申报。一般来说如果用户名和口令验证不通过,就不能进行下一步,但如果测试人员记住了流程输入页面对应的链接,直接在浏览器中输入链接,就能跳转到对应的页面。
  2. 如果不同的业务处理流程都使用了类似的逻辑处理,则这些业务流程都需要进行相同的逻辑测试。例如:对于业务协同系统存在两种金额处理的流程,假设为支出与收人。两个流程中间都有金额参数传递,且后台进行了用户金额扣除。那么在测试中都需要考虑到金额的逻辑测试(假如将金额更改为负数)情况。

其他

Class文件反编译测试

编号

Web _01

测试用例名称

class文件反编译测试

测试目的

java源代码经过一些低版本的编译器编译后形成的class类文件能够被进行反编译,完全还原成java源代码。在攻击者有能力获取class时文件时很有可能造成信息泄漏。

用例级别

三级

测试条件
  1. 测试用机上安装了jad.exe工具,假设安装在从c:\jad.exe

执行步骤
  1. 找出一些重要的class文件(比如:加解密或登陆认证相关的)
  2. 进行windows命令行控制台
  3. 输入命令cd /d c:\classes
  4. c:\jad.exe *.class
  5. 观察在目录中输出的文件

预期结果

不能得到源文件。

备注

参考资料

虚空劫灰往事书@布耶尔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【网络安全】渗透测试——FastJson漏洞原理与复现
程序员若风的博客
11-26 1175
Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库, 用于将数据在 JSON 和 Java Object 之间互相转换, 提供两个主要接口 JSON.toJSONString 和 JSON.parseObject / JSON. parse 来分别实现序列化和反序列化操作.
软件测试必问必背面试题
热门推荐
weixin_45912307的博客
10-30 20万+
软件测试必问必背面试题 01 软件测试理论部分 1.1 测试概念 1. 请你分别介绍一下单元测试、集成测试、系统测试、验收测试、回归测试 单元测试:完成最小的软件设计单元(模块)的验证工作,目标是确保模块被正确的编码 集成测试:通过测试发现与模块接口有关的问题 系统测试:是基于系统整体需求说明书的黑盒类测试,应覆盖系统所有联合的部件 回归测试:回归测试是指在发生修改之后重新测试先前的测试用例以保证修改的正确性 验收测试:这时相关的用户或独立测试人员根据测试计划和结果对系统进行测试和接收。验收测试包括Al
渗透测试面试题总结
0x536d72的博客
11-25 3万+
渗透测试常见面试题
Android安全测试用例(网络资源学习记录)
天在等我,菜鸟想飞
12-30 7123
数字签名检测 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify APK 文 件 路 径 -verbose –certs 当输出结果为“jar 已验证”时,表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 如上图,说明测试结果为安全。 要说明的是,只有在使用直接客户的证书签名时,才认为安全。 Debug 证书、第三方(如 开发方)证书等等均认为风险。 反编译检测 把 apk 当成 zip
Eclipse反编译工具
11-08
5. 测试插件:现在,你可以右键点击项目中的任何.class文件,选择“Open With” > “JadClipse”来查看反编译的源代码。 使用JadClipse时,需要注意以下几点: - 反编译的结果可能并不完全与原始源代码相同,因为...
myeclipse反编译插件
11-21
3. MyEclipse插件集成:在MyEclipse中安装反编译插件后,开发者可以直接在IDE内对项目中的.class文件进行右键操作,选择反编译,查看其源代码,无需额外启动其他工具,简化了开发流程。 4. 安装与使用:将jad158g....
反编译工具下载
04-25
总的来说,反编译工具是开发人员的有力助手,它们可以用于调试、学习、兼容性测试安全审计等多种场景。JD-GUI作为一款实用的Java反编译工具,能够帮助我们深入理解那些不可见的代码细节,从而提高我们的工作效率和...
jd-gui java反编译 windows版本
05-31
至于burp示例.png,这个名字暗示它可能是一个关于Burp Suite的示例图片,Burp Suite是一款网络应用安全测试工具,通常用于测试Web应用的安全性,这里可能是为了演示如何将JD-GUI与其他工具结合使用。 在实际开发中...
minimal_serialization_example:使用 minimum_serialization 的示例测试
07-10
4. `.gitignore`:定义了应忽略的文件和目录,如编译生成的文件。 通过这个示例,开发者可以学习如何在Dart项目中引入序列化库,定义数据模型,使用转换器进行序列化和反序列化,并编写测试来确保其正确性。这对于...
网络安全-基础网络概念1
LS_Ai的博客
07-11 534
计算机网络是一种将多个计算机系统和设备连接在一起的技术,目的是为了共享资源和信息。网络使得设备之间可以进行数据传输和通信,常见的网络包括局域网(LAN)、广域网(WAN)和城域网(MAN)。
【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
等风来
07-15 40
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
等保测评助力网络安全治理现代化
waitaikong_的博客
07-14 257
等保测评,即信息安全等级保护测评,是依据国家相关法律法规和标准,对信息系统进行安全等级划分和安全性能评估的过程。它涵盖了从技术到管理、从人员到流程的多维度评估,旨在确保信息系统在面对各种威胁时的安全性和可靠性。随着网络技术的发展和网络安全形势的变化,等保测评在网络安全治理现代化中扮演着越来越重要的角色。
如何保护你的网络安全
最新发布
m0_70655343的博客
07-15 300
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
网络安全法视角下的等保测评法律责任与风险控制
ddcajdkdl的博客
07-11 494
直接责任人员处罚:对于违反网络安全法规定,导致严重后果的,不仅单位要承担责任,直接负责的主管人员和其他直接责任人员也可能被处以罚款,甚至追究刑事责任。该法于2017年6月1日正式实施,其中对网络安全等级保护制度(简称“等保”)做出了明确规定,要求网络运营者根据其网络的重要程度及潜在影响,实施相应级别的安全保护措施。综上所述,从《网络安全法》的角度出发,等保测评不仅是法律规定的强制性要求,也是企业自我保护、规避法律风险、维护信誉和业务连续性的关键措施。
网络安全工作者如何解决网络拥堵
gmqqcsdn的博客
07-15 611
网络如同现代社会的血管,承载着信息的血液流动。然而,随着数据流量的激增,网络拥堵已成为不容忽视的问题,它像是一场数字世界的交通堵塞,减缓了信息传递的速度,扰乱了网络空间的秩序。作为网络安全的守护者,网络安全工作者必须运用战略智慧和技术手段,解决这一难题,确保每一位用户都能享受流畅的在线体验。
企业安全性的新前沿:智能合约在网络安全中的角色
weixin_44672358的博客
07-15 291
智能合约是一种以代码形式存在的自动化合约,运行在区块链上。它们通过预先编程的规则和条件执行,并在满足特定条件时自动执行相关操作。智能合约可以实现自动化、透明和不可篡改的交易和协议,因此被广泛应用于金融、供应链管理和物联网等领域。智能合约作为区块链技术的一项创新应用,为企业安全性带来了新的前沿和解决方案。它不仅提升了传统安全措施的效率和效果,还为企业在面对复杂和多变的网络安全威胁时提供了全新的应对方式。随着技术的进一步发展和普及,智能合约有望在企业安全性保护中发挥越来越重要的角色。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-04 2119
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全威胁情报到底是什么
学-> 思->用
07-10 523
网络安全威胁情报是提升组织安全态势的重要手段,通过收集和分析各种威胁信息,组织可以更有效地预防、检测和响应网络攻击。威胁情报的构成要素包括指标、TTPs、威胁行为体、漏洞、恶意软件和攻击事件。通过合理应用威胁情报,组织可以增强防御能力、提升事件响应效率,并通过情报共享与合作,共同应对复杂多变的网络威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚空劫灰往事书@布耶尔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值