功能测试——安全测试(首次接触版)

最新推荐文章于 2024-05-04 10:23:01 发布
最新推荐文章于 2024-05-04 10:23:01 发布
阅读量108 收藏
点赞数
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52331696/article/details/129758904
版权

一、sql注入

  通过攻击后台sql语句,改变原来程序员编写代码的原意(一般的sql语句仅仅进行字符串拼接很容易被拼接)

例子:

   以上图片的例子,如果在输入框输入‘or 1=1 or '= 。即会出现查询出所有数据情况,从而使某功能成功执行

 二、XSS攻击

  把我们的代码(html\js)注入到系统

例子

   我们应该对以上图片中输入框的代码进行过滤,不允许输入

三、session

登录的时候保存session

退出登录的时候删除session

   如果不删除session,会导致游览器后退页面的时候再次回到登录系统的页面。一般我们都会预防直接跨登录等前置页面到后续一些的页面。这些预防机制一般都是会判断session中是否有值,如果没有值师不允许跨页面直接访问的

姓梁不凉凉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VS2008功能改进——之单元测试
03-03
虽然VisualStudio2008基本上遵循与VS2005相同的结构,不过,VS2008已经具备单元测试的功能,而在VS2005,只有VSTSTestEdition才具有单元测试的功能。新的WCF和Workflow项目和设计器,现在已经包括在VS2008了。...
安全测试项目工作流程是怎么样的?
ysxjy2020的博客
11-29 836
安全测试在软件测试里面是一个很特别的科目(或作“工种”),次一碰到这个科目,很多人都觉得这个科目应该全权交给神秘的安全测试人员来管。这一个观念导致很多测试人员徘徊在安全测试的门口却迟迟不进去。 如果你能够在不同规模的软件开发项目上跟“神秘的安全测试人员”学习如何进行安全测试,发现“神秘的安全测试人员”不光是名字跟普通测试一样都有“测试”二字,所做的事情在本质上也是跟测试人员有很多相通。 做安全测试,你得先: 转换视角:从安全角度去看问题,例如一些便利性的问题就变成了信息泄漏 角色转换:从合法用户视角
安全测试内容
weixin_42364846的博客
10-20 6179
安全测试就是检查产品是否满足安全需求的过程。 众所周知软件测试分为四大类型,分别是:功能测试、自动化测试、安全测试和性能测试,而安全测试是在功能测试 和自动化测试之后,性能测试之前执行的,以免安全测试后修改的一些问题会影响性能。 安全测试的内容通常包括 1.跳过权限验证 2.修改提交的请求信息等等 3.复杂一些的产品还要进行SQL注入, 4.跨站点脚本之类的测试, SQL注入 由于程序员的水平及工作经验参差不齐,相当一大部分程序员在编写程序的时候对用户输入数据的合法性没有进行判 断,就给应用程序带来一定的安
安全测试常用的工具有哪些?这些不能少!
oldboyedu1的博客
11-03 2670
Nmap是一种使用原始IP数据包的工具,以非常创新的方式决定网络上有哪些主机,主机上的哪些服务提供什么数据、什么操作系统、什么类型、什么本的包过滤/防火墙正在被目标使用。Maltego被设计用来把一个全面的网络威胁图片传给企业或者其他进行取证的组织的局部环境,它是一个平台。Maltego非常棒的一点,同时也是它非常受欢迎的原因是它的独特视角因为它同时提供了基于实体的网络和源,聚合了整个网络的信息-无论是网络的脆弱路由的当前配置,还是当前你的员工的国际访问,Maltego都可以定位,汇总并可视化这些数据。
软件测试——面试八股文(入门篇)
weixin_67553250的博客
05-20 8113
大家好 今天给大家分享软件测试面试题入门篇,看看大家能答对几题 一、 请你说一说测试用例的边界 参考回答: 边界值分析法就是对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分析法是作为对等价类划分法的补充,这种情况下,其测试用例来自等价类的边界。 常见的边界值 1)对16-bit 的整数而言 32767 和 -32768 是边界 2)屏幕上光标在最左上、最右下位置 3)报表的第一行和最后一行 4)数组元素的第一个和最后一个 5)循环的第 0 次、第 1 次和倒数第 2
QA的成长之路——深入测试的奇妙之旅
zhuanzhuantech的博客
04-24 480
QA 突破功能测试瓶颈的秘诀何在?更快、更稳、更准的交付如何解决?通过深入测试——通过了解系统内部实现来进行测试,我接触到新的测试思路,并从获取到宝贵的经验,实现了自我成长突破。
测试开发技术(二)——压力测试
历程
09-06 921
上一篇文章里说过,目前互联网公司的测试开发岗位分两类。一类是专门负责测试平台、效率工具开发的岗位,这类岗位一般相对来说少一些。更多的一类是既要负责业务测试、自动化测试,同时也要去开发测试框架、效率工具来辅助业务测试。我们文章里的测试开发主要是指后者,这类测试开发的岗位(主要指后端的岗位)一般多少多要接触性能测试和稳定性测试,而依照笔者的之前的经历,后端的性能测试和稳定性测试一般都是通过压力测试来实现。 性能测试和稳定性测试的相同之处在于都是使用压测工具来进行。但目标不同,性...
软件测试基础知识——全
ChenBinBini的博客
08-05 7085
目录1、请你分别介绍一下单元测试、集成测试、系统测试、验收测试、回归测试。2、请你回答一下单元测试、集成测试、系统测试、验收测试、回归测试这几步最重要的是哪一步?3、请回答集成测试和系统测试的区别,以及它们的应用场景主要是什么?4请问测试开发需要哪些知识?需要具备什么能力?5、请说一说黑盒与白盒的测试方法。6、请说一下手动测试与自动化测试的优缺点 。7、请问你怎么看待软件测试的潜力和挑战。8、你觉得软件测试的核心竞争力是什么?9、你觉得测试和开发需要怎么结合才能使软件的质量得到更好的保障?10、你觉得
测试用例管理平台——Testlink安装指南(零基础都能学会)
海浮沉的博客
02-17 1万+
写此文以避免各位初次接触安装的同行走弯路 被csdn上那些过时的安装教程害惨了,各种错误,本兼容,配置修改,既麻烦还不好用。这里提供一个最简便的方法供大家参考。 在windows上部署testlink过程:(linux等同理) 1.打开testlink官网:https://www.testlink.org/ 2.找到这个,点进去 3.点这个,下载windows本(下载需要注册登录,用微软账户可以接入) 4.下载完成后,运行这个exe文件,一直点下一步即可完成testlink安装的全流程 相比那些什么
TCP / UDP测试工具——tcpudptest使用总结
热门推荐
Sunshine的博客
02-21 2万+
tcpudptest——高性能测试工具 目录 一、tcpudptest简介 二、测试记录总结 一、tcpudptest简介 在最近的一次针对UDP协议进行高并发测试的工作首次接触到tcpudptest,初始感觉很方便,页面简洁一目了然。 下载地址链接:http://www.pudn.com/Download/item/id/2886087.html ...
菜鸟浅谈——web安全测试
01-27
一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的...
Web——安全性测试1
08-08
3.直接输入需要权限的网页地址可以访问如:没有登录或注销登录后,直接输入登录后才能查看的页面的网址,能直接打开页面 5.隐藏域与CGI参数分析:有此隐藏域泄露
单元功能测试——实验管理系统
12-07
单元功能测试——实验管理系统单元功能测试——实验管理系统单元功能测试——实验管理系统
MyScaleDB:SQL+向量驱动大模型和大数据新范式
安静的软件工程师
05-04 596
MyScaleDB:SQL+向量驱动大模型和大数据新范式
sql having和where区别
最新发布
wniuniu_的博客
05-04 273
where 是用于筛选表满足条件的行,不可以和聚类函数一起使用。having 是用于筛选满足条件的组 ,可与聚合函数一起使用。所以having语句不能使用select定义的名字。
常用SQL命令
wenxiaoba的博客
05-02 1270
常用SQL语句使用说明和示例
一个类实现Mybatis的SQL热更新
cz285933169的专栏
04-30 931
平时用SpringBoot+Mybatis开发项目,如果项目比较大启动时间很长的话,每次修改Mybatis在XmlSQL就需要重启一次。假设项目重启一次需要5分钟,那修改10次SQL就过去了一个小时,成本有点太高了。关键是每次修改完代码之后再重启服务,我们的代码思路也会被断,这样更会降低我们的开发效率。有没有一种方法可以让我们修改完SQL之后不用重启呢?答案是肯定的,我自己亲测有效。以后开发修改了SQL可以自动更新Mybatis的配置,如果是修改了Java代码可以使用idea自带的Hot Swap进行
优化SQL的方法
weixin_44139651的博客
04-26 1690
使用join实现,但不适合join太多表,阿里巴巴开发者手册的规定,join表的数量不应该超过3个,join表数量太多时,会导致mysql在选错索引。一般SQL优化第一考虑的是索引优化,可使用explain命令,查看MySQL的执行计划,确认SQL是否有走索引。相对连接查询,子查询使用in关键字实现,具有结构化,相对简单,但是需要创建和删除临时表,增加资源消耗。索引可提升SQL效率,但索引需要额外的存储空间,而且还会有一定的性能消耗。left join,两个表的交集,以及左表剩余的数据,左表为驱动表。
模糊测试——强制发掘安全漏洞的利器 pdf
09-23
模糊测试是一种测试方法,通过输入非正常和不符合预期的数据来探测软件应用的安全漏洞。它是一种自动化的测试方法,广泛应用于软件开发、信息安全和网络安全领域。模糊测试的目标是发现软件的潜在安全漏洞,以帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值