安全測試 一次關於WEB的URL安全測試

2022-06-29 10:42:12 字數 1098 閱讀 1707

一次關於weburl安全測試

by:授客qq1033553122

測試思路:

時間精力問題,對

web安全這塊也沒咋深入研究,但因為某個小插曲,公司要求先做個簡單的安全測試,主要是針對

url的測試。

這次測試過程中,針對

web端

url安全測試,有了點新的思路,在這裡拿出來和大家分享。

實踐上好像也沒啥好說的,這裡就聊聊思路吧。

回想起來,這次測試本質可以歸為「許可權」的測試,如下:案例1

:1、分別開兩個瀏覽器,以兩個不同的帳號登陸

web後台

2、第乙個瀏覽器中,以其中乙個帳號的身份,檢視帳號自身相關頁面的敏感資訊,資料等

3、複製另乙個使用者的訪問鏈結到另乙個瀏覽器,以另乙個帳號的身份開啟,檢視,如果頁面有相關操作,則試圖進一步進行相關操作案例2

:1、分別開兩個瀏覽器,以兩個不同的帳號登陸

web後台

2、第乙個瀏覽器中,以其中乙個帳號的身份,檢視帳號自身相關頁面的敏感資訊,資料等,或者是執行敏感的操作,比如修改商品**,上、下架商品等,與此同時,通過抓包工具捕獲訪問的請求

3、以另乙個帳號,進行相關相關頁面的操作,目的是獲取請求頭,進而獲得登陸

token

等資訊。

4、通過工具,把步驟

2中的請求頭等資訊替換為步驟

3中的請求頭資訊,然後傳送步驟

2中捕獲的請求,試圖修改步驟

2中帳號相關的資訊、或者模擬帳號

2執行相關操作,試圖以步驟

3中已登陸帳號為「跳板」,執行相關本無許可權執行的操作。

關於測試結果我就不公開了,大致思路就是上面那樣的,有興趣的童鞋可以拿你們家相關的產品試試

記第一次web測試

前程貸web端測試心得 在學習完測試的基本理論之後,第一次著手從頭到尾完成乙個測試專案。有很多不專業的地方,記錄一下。首先,本次測試開始階段的測試需求分析,我因為很多事情耽誤沒有仔細看需求文件,寫測試用例的時候,也只是根據自己使用網頁的經驗,編寫了一些測試用例,覆蓋面不完整。還有測試用例可能也不太規...

安全 一次滲透測試完整流程

常規滲透測試流程 思維導圖 web安全滲透測試不是隨便拿個工具掃一下就可以做的,要了解業務還需要給出解決方案。滲透測試 出於保護系統的目的,更全面地找出測試物件的安全隱患。入侵 不擇手段地 甚至具有破壞性的 拿到系統許可權。明確目標 資訊收集 漏洞探測 漏洞驗證 資訊分析 獲取所需 資訊整理 形成報...

一次關於sklearn crfsuite的安裝之旅

為了在windows上跑crf,我需要安裝sklearn crfsuite,最開始想到的是使用pycharm進行環境配置,裝上了sklearn crfsuite。跑起來,額,出錯了 正在訓練評估crf模型.traceback most recent call last file c users cc...