js脚本安全测试可手动

最新推荐文章于 2024-05-13 15:58:10 发布
最新推荐文章于 2024-05-13 15:58:10 发布
阅读量998 收藏 2
点赞数
分类专栏: 测试行为 文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45811354/article/details/119646599
版权

一、Web安全漏洞:

1、跨站脚本攻击XSS:Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS

恶意攻击者往Web页面里插入恶意script代码,当用户浏览该页面时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在不同场景下,XSS有相应不同的表现形式,主要分为反射型、存储型、DOM型的跨站脚本攻击,所造成的映像主要是窃取用户的登录凭证(Cookies)、挂马攻击、页面访问挟持等

手工测试:

1.1、反射型XSS测试:(相当于get请求页面:url里面输入)对提交页面的各个参数依次进行SQL注入测试,判定是否存在注入

比如正常访问的地址是 http://www.ccc.com/xss.jsp?id=1&name=2,依次对2个参数进行XSS测试

1.1.1、提交 http://www.ccc.com/xss.jsp?id=1”><!–&name=2,根据返回页面是否弹出包含xxx字符串的窗口判断是否存在反射型XSS

1.1.2、提交 http://www.ccc.com/xss.jsp?id=1&name=

‘><!—

   “ onerror=alert(/xxx/) t=”

   “ onmousemove=alert(/xxx/) t=”

   ‘><img src=# onerror=alert(1)>

   ‘><iframe src=http://www.baidu.com><’
最低0.47元/天 解锁文章
悲惨人生的测试/开发
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js文件可以攻击服务器吗,基于JavaScript的DDoS的攻防介绍
weixin_29641609的博客
08-05 756
标签:预备知识随着Web技术的发展,JavaScript作为一种注重交互性的客户端运行脚本,在网站开发过程中使用的越来越普遍。JavaScript是一种基于对象和事件驱动,并具有安全性的脚本语言。它与HTML,CSS结合起来,用于增强功能,并提高与最终用于之间的交互性能。JavaScript代码是解释型的,不需要编译,而是作为HTML文件的一部分由解释器解释执行。目前,基本上所有的浏览器都内置Ja...
【开源】JAVA+Vue.js实现木马文件检测系统
as230627的博客
03-02 1384
基于JAVA+Vue+SpringBoot+MySQL的木马文件检测系统,包含了木马类型、木马软件档案、安全资讯、软件脆弱点、软件检测模块,还包含系统自带的用户管理、部门管理、角色管理、菜单管理、日志管理、数据字典管理、文件管理、图表展示等基础模块,木马文件检测系统基于角色的访问控制,给软件管理员、普通用户使用,可将权限精确到按钮级别,您可以自定义角色并分配权限,系统适合设计精确的权限约束需求。
最安全的js类型检测
a153052的博客
12-24 176
众所周知js内置的类型检测机制不可靠,比如typeof操作符,对于正则和数组检测时返回值都是object, 而使用instanceof检测类型时,虽然可以对正则和数组正常验证,但验证undefined会报错,还有对于Symbol无法验证, /* 安全的类型检测 */ const typeChecking = {} typeChecking.isArray = function(value) ...
掌握JavaScript,轻松实现自动化测试!
最新发布
m0_58026506的博客
05-13 571
随着软件开发的不断发展,自动化测试在保证软件质量和提高开发效率方面扮演着越来越重要的角色。而在自动化测试过程中,JavaScript作为一种强大的脚本语言,为我们提供了丰富的工具和功能。本文将介绍在自动化测试中,掌握JavaScript的基本知识是如何帮助我们编写高效、可靠的测试脚本的。也可以说这些是必备的知识,因为Javascripts和浏览器贴合比较紧密。
WEB安全性测试用例
qq_42898754的博客
04-17 2867
安全性测试用例编写 1.某些需登录后或者只有特殊用户才能访问的页面能否通过直接访问网址进入 2.对于带参数的网址,恶意修改其参数(若为数字,则输入字母或很大的数字或特殊字符)后打开网址是否出错;是否可以非法进入某些页面。 搜索页面等url中含有关键字的,输入Html代码或者Javascript看是否在页面中显示或执行;URL地址后面随便输入一些符号,并尽量是动态参数靠后 3.检查系统运行时有否记录完整的日志 4.是否设置密码最小长度(是) 5.用户名和密码是否可以有空格和回车(不可以) 6.是否允许用户名和
python 主机安全评估检测脚本
wang_ze6456的博客
06-19 1325
qweqwe
可编写脚本的测试应用
02-16
这样的工具允许用户通过编写JavaScript脚本来定制化测试流程,提高测试覆盖率,同时减少了手动测试的工作量,提高了整体的软件质量。而"scriptable-test-app-main"这个文件很可能是整个测试框架的核心部分,定义了...
软件测试 基础班 JavaScript JS基础.ppt
10-03
软件测试基础班 JavaScript JS基础是软件测试的一门重要课程,本节课将对 JavaScript 的基础知识进行详细的介绍。 一、JavaScript 简介 JavaScript 是一种高级的、动态的、基于原型的编程语言,主要用于客户端的...
软件安全测试
04-06
渗透测试模仿黑客攻击行为,使用自动化工具或手动操作来探测运行时的安全漏洞。这种方法能揭示实际环境下的安全问题,但覆盖范围有限,无法检测所有潜在漏洞。 3. 程序数据扫描: 对于有高安全性需求的软件,数据...
测试脚本
02-17
在IT行业中,测试脚本是自动化测试过程中的关键组成部分,特别是在JavaScript领域。JavaScript是一种广泛使用的编程语言,不仅用于网页前端开发,也在后端(Node.js)和移动应用开发中发挥重要作用。自动化测试脚本...
BadBoy jmeter测试录制脚本工具
12-01
这时,可能需要手动编辑JMeter脚本来补充缺失的部分。此外,对于非HTTP(s)的协议,如WebSocket或SOAP,BadBoy则无能为力,此时需要选择其他工具。 总的来说,BadBoy和JMeter的组合提供了强大的性能测试能力,尤其...
【工具】Js敏感信息扫描器
信安是不可或缺的一部分!
04-09 2360
在做JS漏洞挖掘的时候,发现很多工具不是太好用,在信息收集的时间花费很多,自己就像写一个JS信息收集的工具,使用python开发了一个简单的收集工具,其中仿照JSFinder工具的功能,做了信息针对性优化,先做了一个测试版的工具,此工具带有GUI的界面,欢迎交流。在开发时采用tkinter开发的GUI界面,可以探测网站上的 JavaScript 文件,并检查它们是否包含敏感信息。该应用程序使用 requests、threading、tkinter、BeautifulSoup 和 selenium 等库实现。
脚本检测网络中潜在的安全风险
qq_35012243的博客
02-05 118
【代码】【无标题】
常用安全检查脚本
xysoul的专栏
04-09 2118
HP-UX cat  /etc/shadow cat  /etc/passwd cat  /etc/group  logins -p  #logins命令只允许以root执行,它显示所有用户信息。“logins –x –l ”显示指定用户扩展的登录信息,“logins -p”显示没有密码的的帐户。 cat  /etc/default/security  缺省密码长度、复杂度限制,MI
shell脚本------安全监测脚本---safety-check.sh
linus.lin的博客
01-02 892
#!/usr/bin/bash # 1---UID和GID为0的非root特权用户检查 newuser_check=`grep "0:0" /etc/passwd | awk -F ':' '{print $1}'` for i in ${newuser_check};do if [[ ${i} != root ]];then echo "警告: 系统存在UID和GID为0...
适用于系统版本:CentOS 6/7/8的基线安全检测脚本
xianjie0318的博客
03-14 746
【代码】适用于系统版本:CentOS 6/7/8的基线安全检测脚本
Python带你入门安全测试
软件测试技术交流分享
08-01 1365
今天我们聊一聊网络端口扫描那些事,以及Python如何助力于端口扫描。无论今后你是否从事网络安全或者安全渗透测试一职,只要你在测试,测开领域行走着,奔跑着,“网络端口扫描”将是你知识技能储备中不可或缺的一角。...
软件测试 | 执行JavaScript脚本
慕漓的博客
02-14 336
JavaScript是一种脚本语言,简称JS。有的测试场景需要使用JS脚本辅助我们完成Selenium无法做到的测试工作。例如,当webdriver遇到无法完成的测试操作时,可以使用JavaScript来辅助完成。webdriver提供了execute_script()方法来调用JS代码。execute_script()方法可以在当前窗口/框架中执行JavaScript脚本
Js脚本检测
Kc
04-03 779
 标签 用于检测客户端浏览器脚本 是否启用在该标签中加入 提示可提示用户 开启
Sahi脚本自动生成:简化Web自动化测试开发
5. 最终,通过这样的方式,Sahi脚本实现了自动化代码生成,显著提高了Web自动化测试的开发效率和代码可维护性。 通过这种方式,开发者可以节省大量手动编码的时间,专注于测试逻辑本身,同时保持代码结构清晰,有利...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值