测试思路:
对WEB做个简单的安全测试,主要是针对URL的测试。
回想起来,这次测试本质可以归为“权限”的测试,如下:
案例1:
1、分别开两个浏览器,以两个不同的帐号登陆web后台
2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等
3、复制另一个用户的访问链接到另一个浏览器,以另一个帐号的身份打开,查看,如果页面有相关操作,则试图进一步进行相关操作
案例2:
1、分别开两个浏览器,以两个不同的帐号登陆web后台
2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等,或者是执行敏感的操作,比如修改商品价格,上、下架商品等,与此同时,通过抓包工具捕获访问的请求
3、以另一个帐号,进行相关相关页面的操作,目的是获取请求头,进而获得登陆Token等信息。
4、通过工具,把步骤2中的请求头等信息替换为步骤3中的请求头信息,然后发送步骤2中捕获的请求,试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作,试图以步骤3中已登陆帐号为“跳板”,执行相关本无权限执行的操作。
关于WEB的URL安全测试
发表于:2017-01-09
作者:网络转载
来源:
 相关文章
软件测试:测试一个网站 软件测试之全网最全Web端测试点 软件测试之Web自动化测试怎么做?Web... 怎样正确做 Web 应用的压力测试? 0代码就可以实现网页签到测试 如何对网站和应用程序进行本地化测试?- 周排行
- 月排行
-   跨浏览器网页效果免费自动测试网站分享
-   软件测试:网站登录不进去,该如何排...
-   Web功能测试常用方法
-   优化网站性能架构提升用户体验(下)
-   17大Python技巧
-   Web功能测试总结
-   跨浏览器网页效果免费自动测试网站分享
-   UI自动化测试——页面差异检测
-   WEB端与移动端测试区别总结
-   一次完整的安全渗透测试
-   Web测试的8步指南
-   Web安全测试漏洞场景