SQL注入 所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到后台數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意 ...

典型BUG 表格的排序、翻頁、添加、刪除的聯合測試 輸入框的長度檢查 數據庫表中如果指定utf8長度為150，則可以輸入150個中文或英文字母等 （有時候界面判斷失誤，卻只能輸入50個漢字） 數據添加的時候引號等特殊符號沒有處理導致添加失敗 ...

1、漏洞描述：文件上傳漏洞，是指可以利用WEB上傳一些特定的文件包含特定代碼如（<?php phpnfo;?> 可以用於讀取服務器配置信息。上傳成功后可以點擊） 上傳漏洞是指用戶上傳了一個可執行的腳本文件，並通過此腳本文件獲得了執行服務器端命令的能力。文件上傳本身是web中最 ...

建立整體的威脅模型，測試溢出漏洞、信息泄漏、錯誤處理、SQL 注入、身份驗證和授權錯誤. 1. 輸入驗證 客戶端驗證 服務器端驗證(禁用腳本調試，禁用Cookies) 1.輸入很大的數（如4,294,967,269），輸入很小的數(負數) 2.輸入超長字符,如對輸入文字 ...

建立整體的威脅模型，測試溢出漏洞、信息泄漏、錯誤處理、SQL 注入、身份驗證和授權錯誤. 1. 輸入驗證 客戶端驗證 服務器端驗證(禁用腳本調試，禁用Cookies) 1.輸入很大的數（如4,294,967,269），輸入很小的數(負數) 2.輸入超長字符,如對輸入文字 ...

http://blog.csdn.net/stacey_sz/article/details/53669066 工具篇 Watchfire Appscan——全面自動測試工具 Acunetix Web Vulnerability ——全面自動測試 ...

Web Api的安全性 系列導航地址http://www.cnblogs.com/fzrain/p/3490137.html 前言 這一篇文章我們主要來探討一下Web Api的安全性，到目前為止所有的請求都是走的Http協議（http：//）,因此客戶端與服務器之間的通信是沒有加密的。在本篇 ...

Hi，大家好。我們在開展接口測試時也需要關注安全測試，例如敏感信息是否加密、必要參數是否進行校驗。 1、接口防刷案例分析 1.1、 案例 黃牛在12306網上搶票再倒賣並牟利。 惡意攻擊競爭對手，如短信接口被請求一次，會觸發幾分錢的運營商費用。 進行壓 ...