1、用户权限测试　　（1） 用户权限控制 　　1） 用户权限控制主要是对一些有权限控制的功能进行验证 　　2） 用户A才能进行的操作，B是否能够进行操作（可通过窜session，将在下面介绍） 　　3）只能有A条件的用户才能查看的页面，是否B能够查看（可直接敲URL访问） 　　（2） 页面 ...

现在很多基于百度的nginx 防止sql注入都是get方式，如果post就没有了. 坑点: 1.$query_string 获取get请求的数据 2.$request_body 获取post请求的数据，但是这里如果对$request_body进行校验，则为空 ...

1.创建XssAndSqlHttpServletRequestWrapper包装器，这是实现XSS过滤的关键，在其内重写了getParameter，getParameterValues，getHeader等方法，对http请求内的参数进行了过滤。 2.过滤器 ...

xss概念：xss（Cross Site Script）跨站脚本攻击，为不和层叠样式表（css）混淆，写为xss存在位置：web应用系统最常见软件安全漏洞后果：代码植入到系统页面，篡改数据、盗取系统私密数据等非法目的 常见XSS攻击方式1、往页面表单提交恶意的js脚本代码2、通过alert来攻 ...

目录 get post get get sqlmap url 先爆出数据库名字 sqlmap -u url/?inject=1 --current-db url ...

所谓DFX（Design for X面向产品生命周期各/环节的设计）的缩写。其中，X可以代表产品生命周期或其中某一环节，如装配(M-制造，T-测试）、加工、使用、维修、回收、报废等，也可以代表产品竞争力或决定产品竞争力的因素，如质量、成本(C)、时间等等。包括：DFP：Design ...

　　今天看到了DFX这个东西，这是个什么东西呢？带着问题去问度娘了，简单的了解了下DFX,对照自己的工作中的一些测试，有些东西还是能对的上号，但是感觉都不深入，比较肤浅，我把DFX相关的东西还是做个笔记吧，都是参照别人的，我做个记录。 　　1、什么是DFX？DFX＝“Design for X ...

之前在做项目的时候有遇到一些安全问题，XSS注入就是其中之一 那么，什么是XSS注入呢？ XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页之时，嵌入其中Web里面的脚本代码 ...