浅析安全测试
注意这个浅字,主要用简单的方法测试安全相关问题
1.用接口强制性修改参数并请求,可用fiddle抓包在修改参数值,进行请求;可从接口层检查漏洞
eg:支付接口,将价格字段修改为最小(100→0.1),通过接口重复请求的方式,并发大批量数据,看是否可以修改成功
2.将web页面的CSS代码元素进行修改
eg:比如论坛网站写好脚本,当有人点击时,直接修改页面数据,获取用户的隐私信息,可从ui层进行检测漏洞
3.脚本控制本地主机获取用户的隐私
eg:通过文件方式,比如发送vbs脚本,本地打开后执行脚本,锁死电脑(可验证聊天软件对未知的文件或链接是否有警告或拦截功能)
4.sql注入
eg:针对http的请求,用整形或者字符串的方式修改网页的url,一半字段用‘&’符号连接,绝大部分的网址是没做处理的
5.**加密方式
eg:MD5加密,即16或32位字符串,采用monkey组合方式,暴力**(随机生成字符串,填充加密字段进行**)