安全测试第一篇

第一篇"/>

安全测试第一篇

之前接触了一些安全测试的内容，分享到这里，希望技术共勉

一、URL校验

假设存在一个登陆后展示的订单页面：

1.订单信息页面能否直接以URL方式直接进入
2.修改为错误URL参数信息，能否查看到订单信息
3.URL中是否存在html或CSS里关键信息词汇，应该隐藏掉

二、越权访问

假设用户A、用户B分别存在自己的订单的页面：

用户A是否可以直接修改为用户B的ID去查看或操作B的订单

三、SQL注入

1.sql语句：如：select * from user where id=1 or 0=0

使用sql=sql+condition形式

四、XSS（跨站脚本攻击）

在输入框使用js脚本：<script src=‘错误地址’></script>，如果有信息反馈则有问题

五、字符越界溢出

假设我们定义字符有32位或计算后有32位，超过32位是否能请求成功

可以使用以下方式校验.6.1/common/overflow/overflow_impl.go#L350

六、敏感数据泄漏

如：一些重要企业安全信息写入到代码中、网页中等

七、逻辑漏洞

如：一些接口正常的操作是1，2，3，4 没有限制顺序后导致内存占用过多等