安全测试的基本流程
1、把请求包的http流量代理到抓包工具burp上
2、随处点点app或网页上的按键,看看都有什么功能
3、在burp的抓包历史记录里,观察第二步获取到的各个请求包
4、对涉及查询功能的,测试是否存在sql注入
5、对涉及上传文件功能的,测试是否允许上传非法文件
6、留言、评论、备注等类型的,测试是否存在xss注入
7、在调用接口的请求包中,破坏鉴权的token的完整性,测试是否存在越权
8、如果有改密码的接口/请求包,测试能不能改别的帐户的密码
9、爆破登录请求包中的密码,测试系统有没有登录防爆破措施
10、摸清系统使用的框架、中间件等,使用专业工具测试是否存在框架类型的漏洞
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/te-aq/8346.html