专栏首页授客的专栏安全测试 一次关于WEB的URL安全测试

安全测试 一次关于WEB的URL安全测试

测试思路:

时间精力问题,对web安全这块也没咋深入研究,但因为某个小插曲,公司要求先做个简单的安全测试,主要是针对URL的测试。

这次测试过程中,针对WEB端URL安全测试,有了点新的思路,在这里拿出来和大家分享。

实践上好像也没啥好说的,这里就聊聊思路吧。

回想起来,这次测试本质可以归为“权限”的测试,如下:

案例1:

1、分别开两个浏览器,以两个不同的帐号登陆web后台

2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等

3、复制另一个用户的访问链接到另一个浏览器,以另一个帐号的身份打开,查看,如果页面有相关操作,则试图进一步进行相关操作

案例2:

1、分别开两个浏览器,以两个不同的帐号登陆web后台

2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等,或者是执行敏感的操作,比如修改商品价格,上、下架商品等,与此同时,通过抓包工具捕获访问的请求

3、以另一个帐号,进行相关相关页面的操作,目的是获取请求头,进而获得登陆Token等信息。

4、通过工具,把步骤2中的请求头等信息替换为步骤3中的请求头信息,然后发送步骤2中捕获的请求,试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作,试图以步骤3中已登陆帐号为“跳板”,执行相关本无权限执行的操作。

关于测试结果我就不公开了,大致思路就是上面那样的,有兴趣的童鞋可以拿你们家相关的产品试试

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【多图警告】学会JavaScript测试你就是同行中最亮的仔(妹)

    #### ATDD: Acceptance Test Driven Development(验收测试驱动开发)

    拾贰
  • Flink-Kafka性能压测全记录

    本次性能测试在正式环境下单台服务器上Kafka处理MQ消息能力进行压力测试。测试包括对Kafka写入MQ消息和消费MQ消息进行压力测试,根据不同量级的消息处理结...

    王知无
  • 为什么需要Docker?

    估计大家也可能听过Docker这项技术(在论坛上、招聘技能上、交流群上等等),要是不了解Docker,都不好意思在网上冲浪的时候吹牛逼了。

    Java3y
  • 软件敏捷开发 TDD 方案

    现在开发软件都讲敏捷开发,何为敏捷开发?敏捷开发是一种应对快速变化的需求的一种软件开发能力。它们的具体名称、理念、过程、术语都不尽相同,相对于"非敏捷",更强调...

    拾贰
  • AI缝纫机:自带设计工具和自动化针织机器的新系统​。

    最古老的针织物品可以追溯到中世纪的埃及,是一双手工制作精致的袜子。几个世纪以来占据我们衣橱的都是手工制衣,但最近高科技针织机的介入改变了我们的制衣方式。

    大数据文摘
  • 9102年了,Array数组的方法赶紧用起来!

    写久了业务代码的我,已经要被社会抛弃了。今天回过头去巩固基础知识,发现有很多自己业务中不经常用,或者说是不知道那个方法,导致自己重写一个方法去实现。关于Arra...

    拾贰
  • android UiAutomator基本api的二次封装

    本人在使用UiAutomator做测试的时候,封装了很多方法,由于之前的文章并没有分享这些封装方法,导致阅读不畅。本来打算再把图像识别和辅助类写完在分享,鉴于已...

    八音弦
  • 如何获取手机性能测试数据FPS

    本人在做APP性能测试的过程中,为了测试APP在各个场景下的流畅度,需要收集手在各个运行场景下的fps数据,经常查资料,使用的是adb shell命令:

    八音弦
  • UiAutomator测试中如何恢复手机输入法

    本人在使用UiAutomator测试的时候,需要用到utf7输入法,每次执行之前都会切换到utf7输入法,然后每次执行结束之后再切换到正常输入法,由于测试机器比...

    八音弦
  • 【IoT迷你赛】初识Tencent IoT Hub和TencentOS tiny

    由于最近工作很忙,没有抽太多时间研究这个TencentOS tiny系统,本来打算做个Demo的,和详细了解下AT通信模组适配框架的,今晚就先来了初步测试吧,硬...

    用户5188733

扫码关注云+社区

领取腾讯云代金券