- 博客(8)
- 收藏
- 关注
RSS订阅原创 页面web安全测试用例全解
本文详细介绍了手动进行web安全性测试的用例,涵盖软件、网络和数据库安全。内容包括权限管理、用户于口令管理、授权管理,认证要求、会话管理、文件管理以及针对SQL注入、XSS攻击、CSRF漏洞、邮件头注入和目录遍历等的测试与预防策略。
2025-05-16 14:08:45
1150
3
原创 dos攻击原理及攻击实例
DoS (阻断服务攻击)是 Denial – of – Service Attack 的缩写,由攻击方大量产生封包或请求,使目标系统资源耗尽,最终让服务中断或停止,导致其他正常用户无法存取。这通常会用来攻击网站,最终导致网页无法回应并且关闭,原本可以提供的任何服务都会被阻断,因而得名与 DDoS 攻击不同,DoS 攻击的来源单一,具体来说就是由一台与网络连接的电脑发送大量请求,目的是使目标系统崩溃。
2024-10-10 17:54:45
1016
原创 CSV注入攻击测试排查
CSV 是一种简单的文件格式,用于存储表格数据,每行一个数据记录,每个记录由逗号分隔的多个字段组成。CSV文件因其简单性和跨平台性而被广泛使用,在数据导出和导入中尤其常见。CSV 注入攻击是攻击者通过某些方式在 CSV 文件中注入恶意的代码,并利用电子表格软件处理 CSV文件时的特性来执行恶意代码实现非法操作的攻击方式。这种攻击通常发生在应用程序在处理 CSV文件时,没有正确地校验或转义用户输入的特殊字符,从而被攻击者利用在 CSV 文件中注入恶意代码。
2024-10-10 16:30:42
1084
2
原创 web输入框涉及安全测试和功能测试点
3、字段禁止直接输入非数值型数据时,使用“粘贴”、“拷贝”功能尝试输入,并测试能否正常提交保存--只能使用“粘贴”、“拷贝”方法输入的特殊字符应无法保存,并应给出相应提示。8、输入非闰年,月输入[2月]、日输入[29日],比如2009.2.29--程序应提示错误Vn。7、输入非闰年,月输入[2月]、日输入[28日],比如2009.2.28--OKp%C}&b。4、月输入[1、3、5、7、8、10、12月]、日输入[31日]--OK。2、中文、英文、空格,数字,字符,下划线、单引号 等所有特殊字符的组合。
2024-03-25 16:00:59
1926
原创 web测试要点(功能测试、性能测试、用户界面测试、兼容性测试、安全测试、接口测试)
Web测试主要包括6个方面的测试:1、功能测试;2、性能测试;3、用户界面测试;4、兼容性测试;5、安全测试;6、接口测试。通过Web测试可以尽可能地多发现浏览器端和服务器端程序中的错误并及时加以修正,以保证应用的质量。
2023-05-04 15:07:43
2315
2
原创 SUSE系统安装tcpdump抓包命令
tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。tcpdump凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具。在服务器后台输入tcpdump命令,检查服务器上是否有安装tcpdump,出现如下截图信息说明有安装tcpdump。TCPdump抓包命令。
2023-04-26 14:28:48
1381
6
原创 手动安全测试详解
转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”…”,”‘”,”–”,”%”,”0x”,”>
2023-04-25 17:48:45
426
2
原创 怎么判断两个安装包是不是同一个文件
看打印出来的md5值是否一致,如果一致则为相同文件,反之则不是一样的文件。在Linux当中,使用md5sum命令即可。
2023-03-14 18:10:34
408
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人