软件测试之安全测试
点击文末小卡片免费获取软件测试全套资料资料在手涨薪更快一、测试范围管理系统url、登录框、搜索框、输入框、文件上传、文件下载客户端搜索框、输入框、文件上传、系统功能二、测试点密码安全XSS注入SQL注入操作越权上传安全下载安全三、工具fiddlersqlmap四、测试过程1、密码安全1密码输入错误次数超限会锁定账号2除了账号密码需要图形验证码或短信验证码3用户名不存在和密码错误需提示用户名或密码错误4密码传输非明文传输且加密类型不能太简单如仅通过md5加密日志系统中也不能将明文密码打印出来5密码加密存储6用系统默认账号admin/123456、admin/admin、root/123456等是否可以登录系统7用fiddler拦截请求将响应报文改成登录成功的报文无法登录系统2、XSS注入1在输入框中输入XSS注入脚本如scriptalert(test)/script img src onerrorconsole.log(test); img src onerroralert(x)保存成功后看页面是否有执行2若前端有拦截无法输入拦截请求在请求报文中添加相应脚本是否能保存成功3、SQL注入1在url的参数后面改成xxx1or11能否跳转相应页面2通过sqlmap对url中存在的SQL注入进行测试需python环境3在搜索框中输入1or11或者‘ and %是否能查询出所有结果4、操作越权在进行查看账单、查看xx记录等处通过拦截请求修改查询参数为非该用户的数据是否可查出、操作相关数据5、文件上传1是否能上传.jsp、.exe、.bat格式的文件2文件上传的目录是否可执行3上传时是否暴露文件的绝对路径6、文件下载1文件下载是否可以通过修改路径下载其它文件2需权限下载的文件是否可以绕过鉴权直接访问链接进行文件下载五、总结测试搜索框时发现输入包含(的条件会报错输入()时会返回所有数据是搜索条件处理不当导致需登记到典型问题之后有搜索框的测试中补充相应测试用例进行覆盖。最后感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走这些资料对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴我走过了最艰难的路程希望也能帮助到你凡事要趁早特别是技术行业一定要提升技术功底。

相关新闻

【影刀RPA】【企业微信】【消除】【小红点】【消息免打扰】

【影刀RPA】【企业微信】【消除】【小红点】【消息免打扰】

前言 有强迫症,见不得有消息堆积,每天好几百条消息提醒,手动点又很烦躁。 官方无支持,手搓一套,解放双手。 点小红点每天消除前一天的,用不上10分钟,所以可以分享使用。 有需要的可以视频三联…

2026/5/17 10:25:55 阅读更多 →
WPF基础到企业应用系列——布局全接触

WPF基础到企业应用系列——布局全接触

敦俑姆罩file,checksec: image main 函数: image hello 函数: image name 中可以保存字符串,因此我们在 name 中输入 /bin/sh,那么我们就可以利用变量 name 的内存地址,得到 system(/bin/sh),从…

2026/5/17 10:25:54 阅读更多 →
[继续讨论]关于Windows PE和.net assembly的加载

[继续讨论]关于Windows PE和.net assembly的加载

撇尘唐颈编码器-解码器(encoder-decoder)架构 ???前面的文章中我们的模型示例都是根据已有的文字序列,续写N个字。在自然语言处理中,还有有一类需求也是比较经典,那就是机器翻译。 ???对于机器翻译来说&#xff…

2026/7/4 8:24:13 阅读更多 →

最新新闻

终极指南:3步实现ComfyUI TensorRT加速,让你的AI绘图速度提升3-10倍

终极指南:3步实现ComfyUI TensorRT加速,让你的AI绘图速度提升3-10倍

终极指南:3步实现ComfyUI TensorRT加速,让你的AI绘图速度提升3-10倍 【免费下载链接】ComfyUI_TensorRT 项目地址: https://gitcode.com/gh_mirrors/co/ComfyUI_TensorRT 你是否还在为Stable Diffusion生成图像时的漫长等待而烦恼?每…

2026/7/4 17:31:02 阅读更多 →
JMeter变量作用域详解:从本地变量到全局属性的跨线程组参数传递实战

JMeter变量作用域详解:从本地变量到全局属性的跨线程组参数传递实战

1. 项目概述:从一次参数传递的“事故”说起前几天,我团队里一个刚接触Jmeter不久的小伙伴跑来求助,他写了一个模拟用户登录后查询订单的压测脚本,结果跑出来的数据完全不对。登录是成功了,但后续的订单查询请求里&…

2026/7/4 17:29:02 阅读更多 →
AI办公自动化实战:从WorkBuddy与Codex部署到数字员工开发全流程

AI办公自动化实战:从WorkBuddy与Codex部署到数字员工开发全流程

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Claude 随心用,限时 5 折。 👉 点击领海量免费额度 1. 先搞清楚 WorkBuddy 和 Codex 到底是什么,以及这个训练营能解决什么问题 如果你正在找能帮你自动处理办公任务的工具…

2026/7/4 17:25:01 阅读更多 →
机器学习模型服务化实战:从Notebook到K8s生产部署

机器学习模型服务化实战:从Notebook到K8s生产部署

1. 项目概述:当模型走出Jupyter,真正开始呼吸真实世界空气“From Notebook to Production: Running ML in the Real World (Part 4)”——这个标题里藏着一个被无数数据科学家反复咀嚼、又悄悄咽下的苦涩真相:我们花了80%的时间调参、画图、在…

2026/7/4 17:23:00 阅读更多 →
5分钟部署OpenAI兼容API服务器:LMDeploy实战指南

5分钟部署OpenAI兼容API服务器:LMDeploy实战指南

1. 项目概述:为什么你需要一个自己的OpenChat API服务器? 最近在折腾AI应用开发的朋友,估计都遇到过同一个头疼的问题:调用OpenAI的官方API,要么是网络不稳定,要么是费用蹭蹭往上涨,要么就是某些…

2026/7/4 17:23:00 阅读更多 →
Ubuntu Linux 中修复损坏软件包的 7 种方法

Ubuntu Linux 中修复损坏软件包的 7 种方法

Ubuntu 上的 APT 包管理器提供了一种安装各种软件包的简便方法;然而,有时我们在使用它安装新软件包时确实会遇到问题。这是 Ubuntu 用户经常遇到的一个常见问题,因此,无论你是遇到了因更新失败、安装中断或依赖关系冲突而导致的可怕的“损坏的软件包”错误,本指南都将帮助…

2026/7/4 17:23:00 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻