pop安全测试学习-tianwaitian666-ChinaUnix博客

进步一点点...

首页　| 　博文目录　| 　关于我

tianwaitian666

博客访问： 128319
博文数量： 87
博客积分： 0
博客等级：民兵
技术积分： 0
用户组：普通用户
注册时间： 2017-12-21 12:14

文章分类

全部博文（87）

pop（6）
压力测试工具&nbs（1）
web（3）
安全测试（6）
QTP（2）
测试工具Jmeter+b（1）
数据库（3）
测试工具httpwatc（1）
测试工具nexu（1）
pp平台（3）
svn（7）
测试学习（4）
selenium（1）
LR（29）
个人（1）
shell（14）
vlc linux平台测（4）
未分配的博文（0）

文章存档

2015年（10）

2014年（2）

2013年（6）

2012年（69）

我的朋友

相关博文

pop安全测试学习

分类： Windows平台

2015-09-06 17:48:07

1、当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如 />
2、其次,在URL参数或表单中加入某些特殊的SQL语句或SQL片断,如在登录页面的URL中输入 /INDEX.ASP?USERNAME=HI' OR 1=1--

3、最后,验证是否能入侵成功或是出错的信息是否包含关于数据库服务器的相关信息;如果能说明存在SQL安全漏洞.

4、XSS测试?

首先,找到带有参数传递的URL,如登录页面,搜索页面,提交评论,发表留言页面等等。
其次,在页面参数中输入如下语句(如:Javascrīpt,VB scrīpt, HTML,ActiveX, Flash)来进行测试：
><scrīpt>alert(document.cookie)</scrīpt>
='><scrīpt>alert(document.cookie)</scrīpt>
<scrīpt>alert(document.cookie)</scrīpt>
<IMG SRC="jav ascrīpt:alert('XSS');">
"<IMG SRC=java\0scrīpt:alert(\"XSS\")>";' > out
<IMG SRC=" javascrīpt:alert('XSS');">
<scrīpt a=">" SRC="īpt>
<scrīpt =">" SRC="īpt>
<scrīpt a=">" '' SRC="īpt>
- 最后,当用户浏览时便会弹出一个警告框，内容显示的是浏览者当前的cookie串,这就说明该网站存在XSS漏洞。
- 试想如果我们注入的不是以上这个简单的测试代码，而是一段经常精心设计的恶意脚本，当用户浏览此帖时，cookie信息就可能成功的被攻击者获取。此时浏览者的帐号就很容易被攻击者掌控了。

<scrīpt>alert(document.cookie)</scrīpt>

阅读(1344) | 评论(0) | 转发(0) |

上一篇：web安全

下一篇：app测试疑问

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6