web测试

IPD流程中的Web安全测试

て烟熏妆下的殇ゞ 提交于 2019-12-25 22:46:05
最近整理渗透测试的标准,需要梳理归纳出一个渗透测试的标准流程,参考了很多相关的书籍资料。 (1)IPD常见的流程,(Integrated Product Development)是一套产品开发的模式、理念与方法。熟练应用在互联网企业中。 TR1——概念阶段技术评审点:产品需求和概念技术评审(业务需求评审)。 TR2——计划阶段技术评审点1:需求分解和需求规格评审(功能需求评审,产品级规格)。 TR3——计划阶段技术评审点2:总体方案评审(系统设计, 架构设计 , 概要设计 )。 TR4——开发阶段技术评审点1:模块/系统评审(详细设计,BBFV测试结果)。 在产品发布之前,安全测试是TR4版本之后,对Web进行安全测试, 我们使用自动化工具进行的渗透测试(前期的自动化渗透测试),单纯的拿到的是部分常见的的漏洞,比方你发现的跨站脚本,上传漏洞,SQL注入等。这些漏洞并不是针对用户端的代码层的漏洞或者逻辑层的漏洞,对于一些业务逻辑上的漏洞的安全性危害是最大的。常见的这些漏洞会是攻击者进一步获取系统信息升级权限,从而造成对业务逻辑和应用上的攻击。这样就危害大了。 我们常规的安全问题反映在应用上和服务上,应用上主要是移动端,手机,笔记本,台式机等的,服务上主要是服务器。 (2)WEb应用的扫描测试 (使用的工具 APPScan , Burp Suite , Nmap,WEbInset

APP测试和Web测试的区别

房东的猫 提交于 2019-12-23 20:19:53
App 测试 web 测试的区别 单纯从功能测试的层面上来讲的话, APP 测试、web 测试 在流程和功能测试上是没有区别的 根据两者载体不一样,则区别如下: 1、系统结构方面 web项目,b/s架构,基于浏览器的;web测试只要更新了服务器端,客户端就会同步会更新 app项目,c/s结构的,必须要有客户端;app 修改了服务端,则客户端用户所有核心版本都需要进行回归测试一遍 2、性能方面 web项目 需监测 响应时间、CPU、Memory app项目 除了监测 响应时间、CPU、Memory外,还需监测流量、电量等 3、兼容方面 web项目: 1. 浏览器(火狐、谷歌、IE等) 2. 操作系统(Windows7、Windows10、OSX、Linux等) app项目: 1. 设备系统: iOS(ipad、iphone)、Android(三星、华为、联想等) 、Windows(Win7、Win8)、OSX(Mac) 2. 手机设备可根据 手机型号、分辨率不同 4、相对于 Wed 项目,APP有专项测试 1. 干扰测试:中断,来电,短信,关机,重启等 2. 弱网络测试(模拟2g、3g、4g,wifi网络状态以及丢包情况);网络切换测试(网络断开后重连、3g切换到4g/wifi 等) 3. 安装、更新、卸载 安装:需考虑安装时的中断、弱网、安装后删除安装文件等情况 卸载:需考虑

web端功能测试总结(一)

佐手、 提交于 2019-12-23 04:46:43
一、功能测试 1.1链接测试 链接是web应用系统的一个很重要的特征,主要是用于页面之间切换跳转,指导用户去一些不知道地址的页面的主要手段,链接测试一般关注三点: 1)链接是否按照既定指示那样,确实链接到了该链接的界面 2)测试该链接所链接的页面是否真的存在 3)保证系统中没有单独存在的页面(即没有链接指向,只能通过正确的URL地址才能访问) PS:这里顺带说点关于协议的一些小知识,URL全称“统一资源定位符”,表示获取某一互联网资源的地址;而URI表示“统一资源标识符”,代表互联网上某一些资源 1.2表单测试 这个也可以理解为 数据落地 ;当用户在web应用系统上向服务器提交信息时,就需要使用表单操作,比如,用户注册,登录,信息变更等等;这种情况下,我们必须测试提交信息的完整性, 以检验 提交给服务器的数据的正确性, 当然,这涉及 到一些 常理性逻辑 ,比如:出生日期和职业,工作年限是否恰当,所在地省份城市区域间的匹配等,如果设定使用默认值,也需要测试。 1.3导航测试 作为测试,很多时候都要站在用户的角度去思考,那么,作为一个用户,当他访问一个web的网站或者系统时,会怎么去操作呢? 大部分用户都是目的驱动的,当他访问一个网站,会很快的浏览系统,找不到满足自己需求的信息时,会很快离开,很少有用户愿意花时间去熟悉系统的结构,因此,导航测试就显得很重要。 导航测试

java web实训项目:Simonshop(4)

你。 提交于 2019-12-20 08:57:49
一、准备图片资源 在 web 目录里创建 images 目录,存放项目所需图片文件: 二、创建CSS样式文件: 在 web 目录里常见 css 子目录,在里面创建 main.css 文件: 三、创建JavaScript脚本文件: 在 web 目录里创建 scripts 子目录,在里面创建 check.js 文件: 四、添加JSTL的jar包 在 WEB-INF\lib 目录里添加支持 jstl 的 jar 包: 五、展现层页面 1、登录页面login.jsp 在 web.xml 文件里将 login.jsp 设置为首页文件: 重启服务器: 不输入用户名与密码,单击【登录】按钮: 输入用户名,但不输入密码,单击【登录】按钮: 输入管理员用户名与密码: admin , 12345: 我们去服务器端控制台查看输出信息: 重启服务器,再以普通用户登录: 冯天豪,666666然后登陆 去服务器端控制台查看输出信息: 重启服务器,输入错误的用户名或密码: 李文丽 , 12340 单击【登录】按钮,弹出消息框:用户名或密码错误! 单击【确定】按钮,返回登录页面: 2、注册页面register.jsp 启动服务器: 什么也不输入,单击【注册】按钮: 输入用户名,单击【注册】按钮: 输入用户名、密码和电话,单击【注册】按钮 单击【确定】按钮,跳转到登录页面: 打开用户表,查看新添加的用户: 3

模拟浏览器的神器

百般思念 提交于 2019-12-14 17:43:13
【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 随着Web的发展,RIA越来越多,JavaScript和Complex AJAX Libraries给网络爬虫带来了极大的挑战,解析页面的时候需要模拟浏览器执行JavaScript才能获得需要的文本内容。 好在有一个Java开源项目 HtmlUnit ,它能模拟Firefox、IE、Chrome等浏览器 ,不但可以用来测试Web应用,还可以用来解析包含JS的页面以提取信息。 下面看看HtmlUnit的效果如何: 首先,建立一个maven工程,引入 junit 依赖和HtmlUnit依赖: <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.8.2</version> <scope>test</scope> </dependency> <dependency> <groupId>net.sourceforge.htmlunit</groupId> <artifactId>htmlunit</artifactId> <version>2.14</version> </dependency> 其次,写一个junit单元测试来使用HtmlUnit提取页面信息: /** *

Java Web应用案例 购物网(二)

穿精又带淫゛_ 提交于 2019-12-12 01:26:40
Java Web应用案例 购物网(一) Java Web应用案例 购物网(二) 4、控制层(xxxServlet) 在src里创建net.hw.shop.servlet包,在里面创建各种控制处理类。 (1)登录处理类LoginServlet package net.syp.shop.servlet; /* 功能:登录处理类 作者:宋云鹏 时间:2019.12.11 */ import net.syp.shop.bean.User; import net.syp.shop.service.UserService; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.io.IOException; @WebServlet("/login") public class LoginServlet extends

网络安全规范

旧时模样 提交于 2019-12-11 11:25:59
一:敏感信息泄露 1.1什么属于敏感信息 只要这些数据可以被黑客看到,并且对黑客的攻击有帮助的信息,都属于敏感信息。 1.2什么是敏感信息泄露 敏感信息泄露,是指人们把不该公开的信息,给放入到公开的信息库中,造成敏感信息泄露。 1.3怎样检查敏感信息是否加密 需要通过抓包工具,检查数据在传输过程中是否加密。 1.4 常见敏感信息分类 1.4.1 软件泄漏 软件类: 1. 操作系统版本 , 2.中间件的类型、版本 , 3.Web程序(cms类型及版本、敏感文件) 1.4.2 Web敏感信息 phpinfo()信息泄漏 描述:Web站点的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息。如下图所示: 检测方法:访问http://[ip]/test.php 以及http://[ip]/phpinfo.php看是否成功。 修复方案:删除该PHP文件。 2.测试页面泄漏在外网 描述:一些测试页面泄漏到外网,导致外界误传公司被黑客入侵。如下图所示: http://parts.baby.qzoneapp.com/test.php http://other.baby.qzoneapp.com 检测方法:检测页面内容,看是否是测试页面。 修复方案:删除测试页面,例如test.cgi,phpinfo.php,info.pho, .svn/entries等。

web中的路径问题

大憨熊 提交于 2019-12-10 17:50:53
路径的最左边/ /a/b/c/d 客户端重定向 服务器端解析路径最左边的/:项目中的所有资源都在contextPath下面(项目名) 1.客户端解析路径最左边的/(客户端重定向时路径不加“/”) 代表的是端口号后面的/ http://ip:port/ 例如: 在页面中有一个超链接 <a href="/hello.html">测试</a> 当我们点击这个超链接的时候,地址栏中的中会变成: http://ip:port/hello.html 例如: 在servlet完成一个客户端重定向操作 String url = "/hello.html"; response.sendRedirect(url); 由于客户端重定是把url地址返回给浏览器,浏览器解析之后,发出新的请求,这时候浏览器地址栏中的url地址变为: http://ip:port/hello.html 2.服务器解析路径最左边的/(服务器内部跳转路径加“/”) 代表的是项目名后面的/ http://ip:port/项目名/ 例如: 在web.xml文件中配置servlet的映射路径 <url-pattern>/TestServlet</url-pattern> 这个最左边的/是由服务器端进行解析的,所以它代表的是项目名后的/,浏览器进行访问的时候就要写这样的UR地址: http://ip:port/项目名

web测试点集合

半世苍凉 提交于 2019-12-10 14:13:01
转自: https://blog.csdn.net/yuki_ying/article/details/54946541 web测试点 一 、界面检查   进入一个页面测试,首先是检查title,页面排版,字段等,而不是马上进入文本框校验   1、页面名称title是否正确   2、当前位置是否可见 您的位置:xxx>xxxx   3、文字格式统一性   4、排版是否整齐   5、列表项显示字段是否齐全,列表项字段名称是否跟表单统一   6、同一页面,是否出现 字段名称相同、值取不同的问题。   7、数据加载情况:除了文本框的值,还要注意:   复选框,是否保存打√,或者保存不打√   下拉框,是否保存选择的值   多文本框,值是否都被保存,空格,换行是否保存 二、单文本框(type=text)   1、边界:字段长度   2、判空:是否可以为空   3、唯一性:是否唯一 (小归结:边界、判空、唯一性、特殊字符、正确性)   4、考虑语言,操作环境   5、特殊符号测试输入:' or 1<>'1 、 ' or '1'='1 、 ' or '1'<>'2 、 "|?>< 、 where a='xxx' 、下划线是否允许 、输入全部空格 、输入单引号、><script>alert(“123”);</script>>   特殊字段输入限定:   框内容是否合法(tel,ip,url

Selenium的使用:WEB功能测试

↘锁芯ラ 提交于 2019-12-10 07:14:00
Selenium是ThrougthWorks公司一个强大的开源WEB功能测试工具系列 ,本系统包括多款软件 Selenium语言简单,用(Command,target,value)三种元素组成一个行为,并且有协助录制脚本工具,但Selenese有一些严格的限制: 它没有条件(没有"if"表达式),并且它没有循环(没有“for“表达式),使编写复杂的测试变得困难甚至不可能。 经过比较:使用Selenium IDE,XPath Checker进行测试案例的编写,然后转换为JAVA语言的测试案例,再调用Selenium RC运行测试案例。 Selenium工具及比较 Selenium分为: Selenium Core: 支持DHTML的测试案例(效果类似数据驱动测试),它是Selenium IDE和Selenium RC的引擎 Selenium IDE: Firefox的一个插件,支持脚本录制、编辑、回放 Selenium RC: Selenium Remote Control Selenium alone server Selenium Grid: 允许同时并发地、在不同的环境上运行多个测试任务,极大的地加快WEB应用的功能测试 Selenium Core HTA: Selenium Core的额外模式,只要Selenium Core配置稍加修改,即为HTA模式,可以在IE最高安全等级