网站测试

1、Whois 查询 爱站工具网 https://whois.aizhan.com 站长之家　http://whois.chinaz.com VirusTotal https://virustotal.com 2、备案信息查询 ICP 备案查询网 http://www.beianbeian.com 天眼查：http://www.tianyancha.com 3、收集敏感信息 4、收集子域名信息 https://dnsdumpster.com https://crt.sh https://censys.io https://phpinfo.me/domain IP反查绑定域名网站 http://dns.aizhan.com 5、CMS指纹识别 BugScaner http://whatweb.bugscaner.com/look/ 云悉指纹 http://www.yunsee.cn/finger.html 和whatweb https://whatweb.net 6、域名的IP历史纪录 https://www.netcraft.com 在线网站CloudFlareWhat(http://www.crimeflare.us/cfs.html#box 7、收集网站敏感目录 http://www.webscan.cc 来源： https://www.cnblogs.com/szwmd778

一、运行环境 1、Windows 10 2、python 3.8 二、安装第三方库pycurl 1、先安装 pip install wheel 2、在安装pycurl https://download.lfd.uci.edu/pythonlibs/t7epjj8p/pycurl-7.43.0.3-cp38-cp38-win_amd64.whl 三、测试脚本 1 import pycurl 2 import os,sys 3 import time 4 import sys 5 6 7 try: 8 URL=sys.argv[1] # 测试网站的域名 9 except Exception as e: 10 print ("Error:"+str(e)) 11 print ("用法：请输入要探测的web地址") 12 sys.exit() 13 #URL="http://www.baidu.com" #测试网站的域名 14 c = pycurl.Curl() 15 c.setopt(pycurl.URL, URL) 16 c.setopt(pycurl.CONNECTTIMEOUT, 5) 17 c.setopt(pycurl.TIMEOUT, 5) 18 c.setopt(pycurl.NOPROGRESS, 1) 19 c.setopt(pycurl.FORBID_REUSE, 1

转载网上一篇关于安全测试的文章 转载文章标题名为“ 安全测试基础（Ⅰ） 安全测试概述 ” 转载地址： https://www.cnblogs.com/rd-ddddd/p/7718206.html#4367070 一般来说，版本功能测试完成，对应的用例也实现了自动化，性能、兼容、稳定性测试也完成了以后，我们就需要考虑到系统的安全问题，特别是涉及到交易、支付、用户账户信息的模块，安全漏洞会带来极高的风险。 一．安全测试原则与常见的安全威胁： 1.安全需求： ※认证:对认证的用户的请求返回 ※访问控制：对未认证的用户的权限控制和数据保护 ※完整性：用户必须准确的收到服务器发送的信息 ※机密性：信息必须准确的传递给预期的用户 ※可靠性：失败的频率是多少？网络从失败中恢复需要多长时间？采取什么措施来应对灾难性的失败？（个人理解这个地方应该更偏向于容错容灾测试的范畴） ※不可抵赖：用户应该能证明接收到的数据来自特定的服务器 2.常见的安全测试内容 权限控制 SQL注入 URL安全测试 XSS（跨站脚本攻击） CSRF（跨站请求伪造） URL跳转漏洞 其他安全方面的考量 接下来，我们以一个C#实现的下常见的MVC架构网站为例，来分析具体的各个安全测试角度。 二.权限控制 权限控制相对来说比较简单，功能测试的过程中也接触过不少，主要就是考虑以下方面： 1.用户权限：我们假设存在两个用户A,B

目录： 0×00、什么是Acunetix Web Vulnarability Scanner ( What is AWVS?) 0×01、AWVS安装过程、主要文件介绍、界面简介、主要操作区域简介（Install AWVS and GUI Description） 0×02、AWVS的菜单栏、工具栏简介（AWVS menu bar & tools bar） 0×03、 开始一次新扫描之扫描类型、扫描参数详解（Scan Settings、Scanning Profiles） 0×04、AWVS的应用程序配置详解（Application Settings） 0×05、AWVS的蜘蛛爬行功能（Site Crawler） 0×06、AWVS的目标探测工具（Target Finder） 0×07、AWVS的子域名探测工具（Subdomain Scanner） 0×08、AWVS的SQL盲注测试工具（Blind SQL Injection） 0×09、AWVS的HTTP请求编辑器（HTTP Editor） 0×10、AWVS的HTTP嗅探工具（HTTP Sniffer） 0×11、AWVS的HTTP模糊测试工具（HTTP Fuzzer） 0×12、AWVS的认证测试工具（Authentication Tester） 0×13、AWVS的WEB WSDL扫描测试工具（Web Services

创建一个文件夹将所有网站信息存进去 curl.txt : www.baidu.com www.hao123.com www.dahfhnjks.com #!/bin/bash check(){ code=`curl -I -m 10 -o /dev/null -s -w %{http_code} http://${url}` if [ $code -eq 200 ]; then echo "ok" else echo "no" fi } :<<EOF for url in `cat url.txt` do check done EOF while read url do check done < url.txt 　　 来源： https://www.cnblogs.com/lny916/p/11987042.html

目录 一、输入框 二、搜索功能 三、添加、修改功能 四、删除功能 五、注册、登录模块 六、上传图片测试 七、查询结果列表 八、返回键检查 九、回车键检查 十、刷新键检查 十一、直接URL链接检查 十二、界面和易用性测试 十三、兼容性测试 十四、链接测试 十五、业务流程测试（主要功能测试） 十六、安全性测试 十七、性能测试 十八、测试中应该注意的其他情况 一、输入框 1.字符型输入框： （1）字符型输入框：英文全角、英文半角、数字、空或者空格、特殊字符 “~！@#￥%……&*？[]{}” 特别要注意单引号和&符号。禁止直接输入特殊字符时，使用“粘贴、拷贝”功能尝试输入。 （2）长度检查：最小长度、最大长度、最小长度-1、最大长度+1、输入超长字符比如把整个文章拷贝过去。 （3）空格检查：输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格 （4）多行文本框输入：允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行，检查能否正确保存（若能，检查保存结果，若不能，查看是否有正常提示）、 （5）信息重复性: 在一些需要命名,且名字应该唯一的信息输入重复的名字或ID,看系统有没有处理,是否报错,重名包括是否区分大小写,以及在输入内容的前后输入空格,系统是否作出正确处理. （6）安全性检查：输入特殊字符串 （null,NULL, ,javascript,<script>,<

设计并实现一个博客网站的REST API 要求：模仿 Github，设计一个博客网站的 API 规范：REST API 设计 Github API v3 overview ； 微软 文章目录 设计并实现一个博客网站的REST API [Github项目地址]( https://github.com/wywwwwei/ServiceComputingOnCloud/tree/master/HW6_RESTapi ) [Github博客地址]( https://github.com/wywwwwei/ServiceComputingOnCloud/tree/master/HW6_RESTapi ) REST简介 Version Current version Users User Authentication User Regist 测试 Get all usernames 测试 Update password 测试 Delete user 测试 Blog Get User Blogs 测试 Get Blog 测试 New Blog 测试 Edit Blog 测试 Delete Blog 测试 Category Get all current categories 测试 New Category 测试 Get Category Blog 测试 Update Category name

传统网站部署的流程 在运维过程中，网站部署是运维的工作之一。传统的网站部署的流程大致分为：需求分析 --> 原型设计 --> 开发代码 --> 提交代码 --> 内网部署 --> 内网测试 --> 确认上线 --> 备份数据 --> 外网更新 --> 外网测试 --> 发布完成。如果在内网测试时发现代码有异常，返回代码开发人员名字，调整代码；如果在外网测试时发现外网部署的代码有异常，可以及时进行网站回滚。 传统代码上线的过程 开发人员发起代码上线的需求（邮件中包含开发做好的 WAR 包）--> 运维人员连接线上负载调度器（Nginx）--> 隔离一组服务器（Tomcat）--> 连接服务器（Tomcat）--> 备份旧代码（tar 打包）-->删除旧代码目录 --> 上传新的 WAR 包 --> 外网测试 --> 测试不通过则通过备份回滚代码 --> 测试通过则利用 rsync 的脚本推送代码到其他服务器 --> 统一外网测试 --> 连接调度器恢复隔离机制 --> 隔离另一组服务器实施上线步骤 --> 上线完成。 目前主流网站部署的流程 目前主流网站部署方法：通过 Hudson/Jenkins 工具平台实现全自动部署+测试，是一个可扩展的持续集成引擎，属于开源软件项目，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。Jenkins非常易于安装和配置，简单易用。 开发人员

使用Docker测试静态网站 目录 1.1 Sample网站的初始Dockerfile 1.2 构建Sample网站和Nginx镜像 1.3 从Sample网站和Nginx镜像构建容器 1.4 修改网站 Sample网站的初始Dockerfile 创建Dockerfile文本 mkdir sample cd sample touch Dockerfile 配置Nginx文件 cd sample mkdir nginx && cd nginx wget https://raw.githubusercontent.com/jamtur01/dockerbook-code/ master/code/5/sample/nginx/global.conf wget https://raw.githubusercontent.com/jamtur01/dockerbook-code/master/code/5/sample/nginx/nginx.conf cd .. Dockerfile文件 FROM ubuntu:14.04 MAINTAINER Ja Tu "JAMES@example.com" ENV REFESHED_AT 2019-11-17 RUN apt-get update RUN apt-get -y -q install nginx RUN mkdir -p /var

通过sqlmap检测sql注入漏洞 21.1 安装SQLmap漏洞查看工具 21.2 安装渗透测试演练系统DVWA 21.3 使用SQLmap进行sql注入并获得后台管理员adnim帐号和密码 安装SQLmap：Rich七哥64.cn IP：192.168.1.64 渗透测试演练系统DVWA：Rich七哥63.cn IP：192.168.1.63 21.1.1 sql注入概述： 所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 它是利用现有应用程序，可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击 例：12306.cn 帐号和密码泄露。 21.1.2 什么是SQLmap？ SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。 官方网站下载http://sqlmap.org/ 21.1.3 Rich七哥64上安装sqlmap 1、安装Python 环境 我系统中已经安装过了，没有的可以使用下面这条命令安装 [root@Rich七哥64 ~]# yum