安全测试-渗透性测试
安全测试-渗透性测试
明文传输/存储(明文包括:1.请求中存在明文数据传输。2.内存明文传输用户名和密码。3.响应数据中存在明文用户名和密码等。4.客户端反编译存在明文。明文数据直接被攻击者利用并对系统进行攻击。)
越权访问(用户未授权可以访问其他用户的敏感数据。)
敏感信息泄漏(应用程序返回版本号、程序错误详细信息、中间件、SQL语句、系统文件等敏感信息)
上传/下载漏洞(系统可以上传任意类型文件,如php、bat、jsp、class等文件。这些文件可以直接在操作系统层面运行,应用系统存在被攻击风险。)
路径遍历漏洞(攻击者通过向上检索的方式获取服务器上重要文件。如:passwd或者win.ini文件等。存在重要文件信息泄漏风险。)
xss攻击(恶意攻击者将恶意脚本代码(如HTML代码和Javascript脚本)嵌入请求中,当用户在不知情的情况下访问时,就会执行其中的恶意代码,可能会导致cookie窃取、会话劫持、钓鱼欺骗等各种攻击。)
1、最常见的XSS bug检测语句必然是
<script>alert(/XSS/)</script>
<script>alert(document.cookie)</script>
<script>window.location.href="http://www.baidu.com";</script>
2、利用IMG图片标记属性跨站
<img src=”javacript:alert(/XSS/)”></img>
<img src=# onerror=alert(123)>
3、突破程序员的过滤限制
利用javascript换行与空格突破过滤
<img src = j ava script:al er t(/XSS/)>///空格使用Tab键产生
<img src = j
ava script :a ler t(/xss/)>
利用注释
<img src = “#”/**/onerror = alert(/XSS/)>
安全测试-渗透性测试相关推荐
- [安全测试报告]针对某厂商的一次渗透性测试
针对某厂商的一次渗透性测试 1. 安装某商客户端,启动客户端可以看到有两个默认安装好的摄像机,一个设备的设备编号是局域网地址,另外一个设备编号是个摄像机名称. 2. 启动wireshark,并打开 ...
- 用VS.NET中的测试工具测试ASP.NET程序
在编写ASP.NET应用程序的时候,你会花费多长的时间来考虑性能的问题?很不幸,大多数开发者都对性能问题感到很后悔.性能的规划和设计真的需要放在前面和中心位置.你需要考虑自己的目标,并且确保把良好的性 ...
- 【转】测试思考——测试人员需要具备哪些素质?
之前写的文章,今天分享出来 测试人员需要具备哪些素质? 测试人员需要具备哪些技能? 软件测试知识:测试计划.测试方案.编写用例.提交bug.跟踪bug,编写测试报告 测试工具的使用 操作系统 编写代码 ...
- 使用编码的 UI 测试来测试 Windows 应用商店应用
自从Win8应运而生以来,Windows应用商店便立马成为开发者展示的舞台,而这短短的几年里应用的数量就可数以万计,这也不可避免地出现了良莠不齐的局面.我们都知道Visual Studio是目前最流行 ...
- 【Java单元测试】如何进行单元测试、异常测试、参数化测试、超时测试、测试多线程
Junit单元测试的步骤 (1)新建一个单元测试 (2)选择位置 (3)选择需要测试的方法 (4)是否将Junit 4添加到ClassPath中 (5)自动生成的测试类 (6) 然后就可以编写单元测试 ...
- 机器学习 测试_测试优先机器学习
机器学习 测试 Testing software is one of the most complex tasks in software engineering. While in traditio ...
- 测试回收站测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站
测试回收站测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站2测试回收站 ...
- 测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站
测试测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站测试回收站
- 测试文章测试文章测试文章测试文章测试文章
测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章测试文章 ...
- 开源的负载测试/压力测试工具 NBomber
负载测试和压力测试对于确保 web 应用的性能和可缩放性非常重要.尽管它们的某些测试是相同的,但目标不同. 负载测试:测试应用是否可以在特定情况下处理指定的用户负载,同时仍满足响应目标.应用在正常状态 ...
最新文章
- if,elif,else的关系 input print int的用法
- stm32程序中的assert_param()的说明
- Educational Codeforces Round 9 A. Grandma Laura and Apples 水题
- DIV+CSS布局参考站点
- 如何修改远程桌面连接3389端口
- C++(7)--for循环,break,continue语句
- 通过腾讯地图、高德地图、百度地图开发接口获取坐标对应的周边相关信息
- Android 8.0 学习(26)---Android 8.0 SystemUI(一)
- jsf用于页面判断的标签_JSF –在JSF视图页面中添加标签,图像,按钮和文本字段
- AbstractQueuedSynchronizer简单理解及介绍
- 人工智能的算法黑箱与数据正义
- 新能源电动汽车设计与生成
- 云服务器入门篇:搭建云服务器Java web环境(Ubuntu Server 16.04.1 LTS 64位)
- transformer中的相对位置偏置的介绍(relative position bias)
- python切片原理_彻底理解Python list切片原理
- 命令控制之Telegram
- 【安装系统】U盘安装系统教程,使用UltraISO制作U盘启动盘
- 最新python与SEO实战课程第2期项目实战(完整)
- InstallShield打包源码公布
- 4、Python基本数据类型之字典,集合
热门文章
- android 主流分辨率是多少,android手机常用分辨率有哪些?
- 计算机实验小学教导主任,小学教导主任2020年度考核个人总结5篇
- 计算机网络应用答题卡,计算机软考中高级答题卡填涂注意事项
- Git出现 Your local changes to the following files would be overwritten by merge: con
- KVM虚拟化进阶--KVM设备高级管理
- 脱机外挂制作完全版(制作原理与实现技术)
- vue3.0页面模板-示例
- LU分解解线性方程组python实现
- 论文笔记:TrafficPredict: Trajectory Prediction for Heterogeneous Traffic-Agents
- Postgresql模糊查询插件pg_bigm安装