web安全性测试
SQL注入
所谓SQL注入,就是通过把SQL命令插入到
Web表单提交
或输入域名或页面请求的查询字符串,
最终达到欺骗服务器执行恶意的SQL命令。
XSS攻击
XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,
其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。
如,盗取用户 Cookie、破坏页面结构、重定向到其它网站等。
WEB日志
如何查看自己的服务器的日记?
自己有服务器的先打开“Internet 信息服务”,选择你的网站属性,下面有“启用日志记录”,
一般有三个选项:W3C扩展日志文件格式、Microsoft IIS
日志文件格式、NCSA公用日志文件格式,默认是:W3C扩展日志文件格式,选择右边的属性,
下面有日志文件名:(例 如:W3SCC1\ncyymmdd.log),日志存放目录一般是:C:\WINDOWS\system32\LogFiles,如果你要打开日志文件 夹,那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。
如果用虚拟主机的可以到服务器商的后台选择日志保存后用 FTP去下载,一般都放在log文件夹内。
接口测试
接口测试是测试系统组件间接口的一种测试。接口测试主要用于检测外部系统与系统之间以及内部各个子系统之间的交互点。
测试的重点是要检查数据的交换,传递和控制管理过程,以及系统间的相互逻辑依赖关系等。
接口测试大体分为两类:模块接口测试和web接口测试
它主要测试模块的调用与返回。
1、检查接口返回的数据是否与预期结果一致。
2、检查接口的容错性,假如传递数据的类型错误时是否可以处理。例如上面的例子是支持整数,传递的是小数或字符串呢?
3、接口参数的边界值。例如,传递的参数足够大或为负数时,接口是否可以正常处理。
4、接口的性能,接口处理数据的时间也是测试的一个方法。牵扯到内部就是算法与代码的优化。
5、接口的安全性,如果是外部接口的话,这点尤为重要。
对于web接口测试来说有哪些测试要点:
1、请求是否正确,默认请求成功是200,如果请求错误也能返回404、500等。
2、检查返回数据的正确性与格式;json是一种非常创建的格式。
3、接口的安全性,一般web都不会暴露在网上任意被调用,需要做一些限制,比如鉴权或认证。
4、接口的性能,web接口同样注重性能,这直接影响用户的使用体验。如果我搜索一个关键字半天结果都没返回,果断弃用。
网友评论