一步一步带领

功能测试(Function test)输入正确的用户名和密码，点击提交按钮，验证是否能正确登录。输入错误的用户名或者密码,  验证登录会失败，并且提示相应的错误信息。登录成功后能否能否跳转到正确的页面用户名和密码，如果太短或者太长，应该怎么处理用户名和密码，中有特殊字符，和其他非英文的情况记住用户名的功能登陆失败后，不能记录密码的功能用户名和密码前后有空格的处理密码是否以星号显示

Firebug 是一个开源的web开发工具。功能： 1.控制台 2.查看和修改HTML 3.CSS调试 4.网络状况监视器 5.Javascript调试器 6.Dom查看器常用的：2.3.4.5一、firebug组件简介1.firebug选项，点击firebug图标2.检查元素（点击页面元素，右键选择使用firebug查看元素）3.撤销与恢复4.

抓包工具：ie用httpwatch，firefox用firebugfirebug不仅能查看网页元素，也是很好用的抓包工具，目的就是用它分析网络数据包的内容，无论是POST数据还是GET数据。1.打开firebug的网络标签2.访问需要分析的页面，firebug已经把所有的POST和GET请求都记录了下来，包括图片，JS等等，一般情况下我们只需要分析黑体的请求3.点开

1页面部分（1） 页面清单是否完整（是否已经将所需要的页面全部都列出来了）（2） 页面是否显示（在不同分辨率下页面是否存在，在不同浏览器版本中页面是是否显示）（3） 页面在窗口中的显示是否正确、美观（在调整浏览器窗口大小时，屏幕刷新是否正确）（4） 页面特殊效果（如特殊字体效果、动画效果）是否显示（5） 页面特殊效果显示是否正确2页面元素部分

一、概述　　1. 1 五层模型　　互联网的实现，分成好几层。每一层都有自己的功能，就像建筑物一样，每一层都靠下一层支持。　　用户接触到的，只是最上面的一层，根本没有感觉到下面的层。要理解互联网，必须从最下层开始，自下而上理解每一层的功能。　　如何分层有不同的模型，有的模型分七层，有的分四层。我觉得，把互联网分成五层，比较容易解释。　　如上图所示，最底

1.        不登录系统，直接输入登录后的页面的URL是否可以访问；2.        不登录系统，直接输入下载文件的URL是否可以下载文件；如输入：http://url/download?name=file是否可以下载文件file3.        退出登录后，后退按钮能否访问之前的页面；4.        ID/密码验证方式中能否使用简单密码；如密码标准为6位以上，字

客户端验证：好处是快，对客户来说比较友好，通过js或VB来进行本地验证，不用把这个过程提交到服务器，比如说一个注册页面，填好注册信息后，你点击提交按钮，那么它没有跳转就提示你填写有误，这一过程一般很快，返回时页面也不晃动，但如果用服务器端验证，你填好后，可能会跳到另一页面，返回得很慢，中间有可能有一段空白时段，返回后页面出现重写或晃动返回服务器端验证：好处是安全，利于保存客户重要信息。

端口，进入某个程序的一扇窗，要开启某项应用，就要先开启这项端口，如上网端口号80，黑客利用用户PC端的已端口号如80，则可进行web攻击。原则是只开启常用或必须的端口号，其他的进行关闭。1.查看当前开启的所有端口号 netstat -ano 2.查看特定端口号为“80”的PID输入：  netstat -aon|findstr "80" 3.查看PID对应的应用程序输入：

一：组成关亍计算机组成部分，其实你可以观察你的桌面计算机分析一下，依外观来说这家伙主要分为三部分：  输入单元：包括键盘、鼠标、卡片阅读机、扫描仪、等等一堆；  主机部分：这个就是系统单元，被主机机壳保护住了，里面吨有 CPU 不主存储器等；  输出单元：例如屏幕、打印机等等、计算机硬件五大单元二：运作流程三、容量速度（性能有关）

什么是HTTP协议协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则，超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器 目前我们使用的是HTTP/1.1 版本Web服务器，浏览器,代理服务器当我们打开浏览器，在地址栏中输入URL，然后我们就看到了网页。 原理是怎样的呢？

1.什么是SQL注入许多网页会从用户那里获取参数，并构建SQL查询来访问数据库。以用户登录为例，页面收集用户名和密码然后构建SQL去查询数据库，来校验用户名和密码的有效性。通过SQL注入，我们可以发送经过精心编造的用户名和/或密码字段，来改变SQL查询语句并赋予 我们其它一些权限。通过SQL注入，不仅能绕过登录验证，还可能得到数据库中表的各种信息，参数常存在于需要用户提交的表单或浏览器地址中。

转载了个缓存文章，感觉还挺有用的，大概是下面的这几个意思，具体怎么回事还是看原博主是咋解释的吧。缓存的新鲜度由最后修改时间决定，点击刷新按钮：浏览器不判断过期时间，直接发送请求，服务器判断最后修改时间       没改：发304，缓存可用       修改：发200，发送新文件强制刷新：ctrl+f5，都是200，你懂的回车刷新：浏览器会"直接使

一、死链检查工具：1. Link Checkers 在线工具。可以抓取网站内容来检查网页死链，准确定位有问题的超链位置。2. Google Webmaster 需要登录Google账户才能使用该工具，并需要将验证文件上传到要管理的站点进行验证。3. Link tiger 在线工具，需登录账号。可以免费使用，不过也可以提供多种收费服务。检测报告可以以饼图等形式进行展示，也允许用户

竭思是一款深度WEB应用安全评估工具，能轻松应对各种复杂的WEB应用，全面深入发现里面存在的安全弱点。竭思可以检测出包括SQL注入、跨站脚本、目录泄露、网页木马等在内的所有的WEB应用层漏洞，渗透测试功能让您熟知漏洞危害。1.下载jsky，并解压2.点击.exe文件打开软件3.点击文件-新建扫描进入扫描向导4.输入要测试的网站首页5.其他的一路下一步

一、页面链接检查： 测试每一个链接是否都有对应的页面，并且页面之前可以正确切换。二、相关性检查：    1、功能相关性：删除/增加一项会不会对其他项产生影响，如产品影响，这些影响是否正确（常见的错误是：增加某个数据记录后，如果该记录某个字段值内容过长，可能在查询的时候让数据例表变形）    2、数据相关性：下拉列表默认值检查（如果某个列表的数据项依赖于其他模块中的数据，同样

Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。