白盒测试怎么做:
1.静态扫描
2.动态扫描,构造测试数据去检查。语句覆盖--覆盖所有代码
3.判定覆盖每个判定条件,每个判定都需真假值
4.条件覆盖每个条件,都需要有一个真假值
5.判定/条件覆盖
6.组合覆盖,条件之间的组合场景
7.路径覆盖---后面的黑盒流程分析法
安全测试我们常用的方法是:1,sql注入 2,xss脚本攻击 3,数据加密 4,权限控制
运用扫描工具 appscan扫描web系统。扫描app的一般用腾讯 wettest等平台测试测试,前端(web)时我们首先检查检查一下用户的感敏信息有没有进行加密显示,通过Fiddle抓包工具检查一下用户的感敏信息有没有进行加密后传输如:用户密码,相应的银行卡,个人信息等,再到日志中搜索关键信息,搜索到,就泄密,存在安全漏洞,数据库中是否做了加密处理。还有就是把发送请求的数据篡改例如:打开fiddler,设置过滤器,设置断点把商城里的支付订单的1000完金额修改成1块钱,再放行发送数据看是否,支付1块钱,订单支付成功,如果成功则是bug,预期结果是支付金额不对才行,用sql语句注入和xss脚本攻击,把sql语句或xss脚本编缉成csv文档通过 jmeter 工具添加"CSV数据文件设置"来调用里面的语句来在所有的查询位置所有的接口请求、url请求链接参数中,进行sq语句注入或xss脚本攻击:模拟sql语句xss脚本攻击数据库,看它是否把sql注入代码或xss脚本当成字符处理,如果不是就是bug,再看功能不能正常使用、系统是否崩溃,错误弹出框,界面是否变形。还有在所有可以保存的地方,都添加xss脚本攻击代码,看看是否出现异常。权限控制(用户的校验)校验用户安全认证信息是否正确,如没有权限的界面不能进入,不能提供操作入口或不能通过url直接去访问:例如;把所有需要权限的界面,全部复制一份出来然后退出用户再通过un链接去访问功能如果可以访问,就是bug,如有提示登录,属于正常。还有登陆用户
再退出用户后,点击浏览器的后退不能进入原来的界面。
通过 appscan扫描工具去扫描,我们般是这样操作的;
1、启动软件进入主界面->选择创建新的扫2、在弹出的新建扫描对话框中选择常规扫描
3、在弹出的扫描配置向导对话框中选择AppScan(自动或手动),点击下一步
4、在此页面中填写需要扫描系统的同址,点击下一步
5、选择登陆方式为记录,点击下一步
完成系统登录操作后,关闭浏览器选择登录管理中的“详细信息”
7、在”详细信息”中,取消”激活会话中的检测同时在”登录会话标识中”,对变量参数值进行跟踪以确保参数的正确处理而获得系统访问权限
8、把密码修改页面URL、用户权限删除URL等页面添加至排除测试范围,防止 Appscan的请求产生相应影响(防止 Appscan修改密码或删除用户帐号);
9、在”自动表单填充中,填入用户名和密码参数,并填写参数值,其余不做修,10、如果测试过程中,应用服务出现性能响应过慢的问题,适当调整测试线程数为2->511、测试策路选择为严重性"进行过滤只勾选关注的严重性级别,把“高”、“中”和低”选上,
13、点击确定按钮,结束扫描配置工作,14、点击扫描按钮,选择“仅探索”, Appscan开始执行探索工作;
14、点击扫描按钮,选择“仅探索”,Appscan开始执行探索工作;
15、探索自动结束后,点击“手动探索”按钮,此时,在弹出的E浏览器窗口中登录系统,手工的任意访问系统页面(1-10个),关闭浏览器
16、在弹出的参数添加窗口中,点击确定按钮
17、点击扫描按钮,选择“完全扫描”, Appscan开始执行测试工作
18、测试执行结束后,点击报告按钮,选择关注的测试结果信息,勾选“报告内容“里的所有勾选
19、保存报告,保存类型建议选择为html;然后分析报告。(只需了解面试尽量不要提及)
标签:xss,基础,扫描,用户,点击,测试,按钮 From: https://www.cnblogs.com/cyy2022989579/p/18374809