一次關於web的url安全測試
by:授客qq:1033553122
測試思路:
時間精力問題,對
web安全這塊也沒咋深入研究,但因為某個小插曲,公司要求先做個簡單的安全測試,主要是針對
url的測試。
這次測試過程中,針對
web端
url安全測試,有了點新的思路,在這裡拿出來和大家分享。
實踐上好像也沒啥好說的,這裡就聊聊思路吧。
回想起來,這次測試本質可以歸為「許可權」的測試,如下:案例1
:1、分別開兩個瀏覽器,以兩個不同的帳號登陸
web後台
2、第乙個瀏覽器中,以其中乙個帳號的身份,檢視帳號自身相關頁面的敏感資訊,資料等
3、複製另乙個使用者的訪問鏈結到另乙個瀏覽器,以另乙個帳號的身份開啟,檢視,如果頁面有相關操作,則試圖進一步進行相關操作案例2
:1、分別開兩個瀏覽器,以兩個不同的帳號登陸
web後台
2、第乙個瀏覽器中,以其中乙個帳號的身份,檢視帳號自身相關頁面的敏感資訊,資料等,或者是執行敏感的操作,比如修改商品**,上、下架商品等,與此同時,通過抓包工具捕獲訪問的請求
3、以另乙個帳號,進行相關相關頁面的操作,目的是獲取請求頭,進而獲得登陸
token
等資訊。
4、通過工具,把步驟
2中的請求頭等資訊替換為步驟
3中的請求頭資訊,然後傳送步驟
2中捕獲的請求,試圖修改步驟
2中帳號相關的資訊、或者模擬帳號
2執行相關操作,試圖以步驟
3中已登陸帳號為「跳板」,執行相關本無許可權執行的操作。
關於測試結果我就不公開了,大致思路就是上面那樣的,有興趣的童鞋可以拿你們家相關的產品試試
記第一次web測試
前程貸web端測試心得 在學習完測試的基本理論之後,第一次著手從頭到尾完成乙個測試專案。有很多不專業的地方,記錄一下。首先,本次測試開始階段的測試需求分析,我因為很多事情耽誤沒有仔細看需求文件,寫測試用例的時候,也只是根據自己使用網頁的經驗,編寫了一些測試用例,覆蓋面不完整。還有測試用例可能也不太規...
安全 一次滲透測試完整流程
常規滲透測試流程 思維導圖 web安全滲透測試不是隨便拿個工具掃一下就可以做的,要了解業務還需要給出解決方案。滲透測試 出於保護系統的目的,更全面地找出測試物件的安全隱患。入侵 不擇手段地 甚至具有破壞性的 拿到系統許可權。明確目標 資訊收集 漏洞探測 漏洞驗證 資訊分析 獲取所需 資訊整理 形成報...
一次關於sklearn crfsuite的安裝之旅
為了在windows上跑crf,我需要安裝sklearn crfsuite,最開始想到的是使用pycharm進行環境配置,裝上了sklearn crfsuite。跑起來,額,出錯了 正在訓練評估crf模型.traceback most recent call last file c users cc...