1、用戶權限測試　　（1） 用戶權限控制 　　1） 用戶權限控制主要是對一些有權限控制的功能進行驗證 　　2） 用戶A才能進行的操作，B是否能夠進行操作（可通過竄session，將在下面介紹） 　　3）只能有A條件的用戶才能查看的頁面，是否B能夠查看（可直接敲URL訪問） 　　（2） 頁面 ...

現在很多基於百度的nginx 防止sql注入都是get方式，如果post就沒有了. 坑點: 1.$query_string 獲取get請求的數據 2.$request_body 獲取post請求的數據，但是這里如果對$request_body進行校驗，則為空 ...

1.創建XssAndSqlHttpServletRequestWrapper包裝器，這是實現XSS過濾的關鍵，在其內重寫了getParameter，getParameterValues，getHeader等方法，對http請求內的參數進行了過濾。 2.過濾器 ...

xss概念：xss（Cross Site Script）跨站腳本攻擊，為不和層疊樣式表（css）混淆，寫為xss存在位置：web應用系統最常見軟件安全漏洞后果：代碼植入到系統頁面，篡改數據、盜取系統私密數據等非法目的 常見XSS攻擊方式1、往頁面表單提交惡意的js腳本代碼2、通過alert來攻 ...

目錄 get post get get sqlmap url 先爆出數據庫名字 sqlmap -u url/?inject=1 --current-db url ...

所謂DFX（Design for X面向產品生命周期各/環節的設計）的縮寫。其中，X可以代表產品生命周期或其中某一環節，如裝配(M-制造，T-測試）、加工、使用、維修、回收、報廢等，也可以代表產品競爭力或決定產品競爭力的因素，如質量、成本(C)、時間等等。包括：DFP：Design ...

　　今天看到了DFX這個東西，這是個什么東西呢？帶着問題去問度娘了，簡單的了解了下DFX,對照自己的工作中的一些測試，有些東西還是能對的上號，但是感覺都不深入，比較膚淺，我把DFX相關的東西還是做個筆記吧，都是參照別人的，我做個記錄。 　　1、什么是DFX？DFX＝“Design for X ...

之前在做項目的時候有遇到一些安全問題，XSS注入就是其中之一 那么，什么是XSS注入呢？ XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼，而程序對於用戶輸入內容未過濾，當用戶瀏覽該頁之時，嵌入其中Web里面的腳本代碼 ...