2.1 CSRFTester
CSRFTester是一款CSRF漏洞的測試工具。此工具的測試原理如下:它使用代理抓取瀏覽器中訪問過的連接以及表單等信息,通過在CSRFTester中修改相應的表單等信息,重新提交,相當於一次偽造客戶端請求,如果被測試的請求成功被網站服務器接受,則說明存在CSRF漏洞,否則不存在。當然此款工具也可以被用來進行CSRF攻擊。本書介紹的CSRFTester版本為V1.0。
啟動CSRFTester,在命令行總顯示127.0.0.1:8008被使用,如39所示。
39 CSRFTester通過監聽本地8008端口來測試
然后在瀏覽器端配置代理,(可以參見7,注意端口改為8008)。
點擊【Start Recording】,然后在瀏覽器頁面操作待測的功能,CSRFTester通過8008端口將操作進行錄制,如40所示。錄制完畢點擊【Stop Recording】,最后選擇可能存在CSRF攻擊的頁面。點擊頁面最下方的【Generate HTML】按鍵,生成HTML文件。
40 CSRFTester錄制瀏覽器操作
用瀏覽器打開上一步生成的HTML文件,將自動運行里面的JavaScript腳本,如果請求成功被網站服務器接受,說明存在CSRF注入,否則不存在。
案例4:電子商務登錄功能CSRF測試
打開CSRFTester,設置瀏覽器代理為:127.0.0.1:8008,點擊【Start Recording】按鍵,在瀏覽器頁面輸入電子商務登錄頁面的IP地址,輸入正確的用戶名和密碼,成功登錄到產品列表頁面,點擊【StopRecording】按鍵,定位在/login_action/頁面,生成HTML頁面。使用瀏覽器打開生成的HTML文件,進入404錯誤頁面,登錄失敗,說明登錄功能不存在CSRF注入。
星雲測試
http://www.teststars.cc
奇林軟件
http://www.kylinpet.com
聯合通測
http://www.quicktesting.net
顧翔凡言:
圖是軟件項目三角形。
圖 軟件項目三角形
下面做如下假設。
l 假設質量(Q)與范圍(S)不變,時間(T)減少的情形下,必須雇佣高水平的人員或者先進的技術,即增大產品的成本(C)。同理,質量(Q)與范圍不變,時間(T)增加的情形下,可以減少成本(C)。
l 假設質量(Q)與時間(T)不變,范圍(S)增加的情形下,也必須增大成本(C)。同理,質量(Q)與時間(T)不變,范圍(S)減少的情形下,可以減少成本(C)。
l 假設質量(Q)與成本(C)不變,時間(T)減少的情形下,范圍(S)必須減少。同理,質量(Q)與成本(C)不變,時間(T)增加的情形下,可以加大范圍(S)。
於是可以得到如下公式:
Q = TC/S
也就是說質量消耗單位模塊的時間和金錢的乘積。從這里可以看出,完成一個功能,需要達到一定的質量,必須消耗有效的時間或者增加產品的成本投入,由此可以看出為了趕進度,盲目加班趕工是不可取的。