
測驗做安全一般是做手工安全測驗:
1、sql 注入
2、xss 跨站點腳本攻擊
3、跨目錄訪問
4、用戶權限訪問控制
1、sql 注入
基本原理:一般sql 注入是在前臺,有時后臺也有,改變sql 陳述句的正常寫法,但是又能騙
過代碼,
select password from 表名 where name=‘zhangsan’; 改成
select password from 表名 where name=‘zhangsan’ or 1=1;




2、xss 跨站點腳本攻擊
很多文本框的時候, 則alert()函式會在瀏覽器觸發,
只要在文本框中輸入腳本,點擊執行按鈕,報錯就可以提嚴重bug
腳本有很多,可以百度
3、跨目錄訪問
普通用戶登錄后臺可以登錄成功
4、用戶權限訪問控制
任何系統都有權限配置管理,通過測驗權限的組合是否符合需求,不符合則不符合安全規定
常見的安全工具:
業界常用的代碼漏洞掃描工具:fortyfy、webinspect (向國外申請并購買,小公司一般 不會用)
常見的加密演算法:
rsa(非對稱加密演算法)
aes(對稱加密演算法)
base: BASE64轉碼 圖片會經過這個進行轉碼
md5:資訊摘要演算法
md5:a和b之間傳輸檔案,這個檔案不是特別重要,但是我們希望在傳輸程序不會被人修改, 在linux里通過指令生成一個32位的字串,然后檢驗檔案傳輸程序有沒有被修改,只要把字串給另外一個人,對比他收到的檔案的32位字串,如果不一樣則被修改了
rsa:公鑰和私鑰,公鑰可以去鎖檔案,私鑰只能解對應公鑰處理過的檔案


web安全測驗方法:
工具掃描
目前web安全掃描器針對OSinjection, XSS、SQL injection 、OPEN redirect 、
PHP File Include漏洞的檢測技術已經比較成熟,
商業軟體web安全掃描器:有IBM Rational Appscan、WebInspect、Acunetix WVS 、 burp suite 免費的掃描器:W3af 、Skipfish 等
根據業務資金,可以考慮購買商業掃描軟體,也可以使用免費的,各有各的好處,
首頁可以對網站進行大規模的掃描操作,工具掃描確認沒有漏洞或者漏洞已經修復后,再進 行以下手工檢測,
加密演算法:(常見的加密演算法可以分成三類,對稱加密演算法,非對稱加密演算法和Hash演算法,
常見的對稱加密演算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES指加密和
解密使用相同密鑰的加密演算法,對稱加密演算法的優點在于加解密的高速度和使用長密鑰時的
難破解性,
見的非對稱加密演算法:RSA、ECC(移動設備用)、Diffie-Hellman、El Gamal、DSA(數字 簽名用)
指加密和解密使用不同密鑰的加密演算法,也稱為公私鑰加密,
Hash演算法特別的地方在于它是一種單向演算法,用戶可以通過Hash演算法對目標資訊生成一段特
定長度的唯一的Hash值,卻不能通過這個Hash值重新獲得目標資訊,因此Hash演算法常用在不
可還原的密碼存盤、資訊完整性校驗等,
常見的Hash演算法:MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1
以上筆者的經歷更像一張橫向的知識網,創建了一個交流平臺 914172719 ,群內有各種技術同行交流、學習資料、面試經驗等,其中用到jenkins、docker、moutebank、python編程等,還需要花更多的精力去深入學習,當每項技能都能掌握到一定深度,才能稱為一個完整的知識體系,
最后: 可以關注公眾號:傷心的辣條 ! 進去有許多資料共享!資料都是面試時面試官必問的知識點,也包括了很多測驗行業常見知識,其中包括了有基礎知識、Linux必備、Shell、互聯網程式原理、Mysql資料庫、抓包工具專題、介面測驗工具、測驗進階-Python編程、Web自動化測驗、APP自動化測驗、介面自動化測驗、測驗高級持續集成、測驗架構開發測驗框架、性能測驗、安全測驗等,
如果我的博客對你有幫助、如果你喜歡我的博客內容,請 “點贊” “評論” “收藏” 一鍵三連哦!
好文推薦
轉行面試,跳槽面試,軟體測驗人員都必須知道的這幾種面試技巧!
面試經:一線城市搬磚!又面軟體測驗崗,5000就知足了…
面試官:作業三年,還來面初級測驗?恐怕你的軟體測驗工程師的頭銜要加雙引號…
什么樣的人適合從事軟體測驗作業?
那個準點下班的人,比我先升職了…
測驗崗反復跳槽,跳著跳著就跳沒了…
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/297512.html
標籤:其他
