浅析安全测试说明

注意这个浅字，主要用简单的方法测试安全相关问题

1.用接口强制性修改参数并请求，可用fiddle抓包在修改参数值，进行请求；可从接口层检查漏洞
eg：支付接口，将价格字段修改为最小（100→0.1），通过接口重复请求的方式，并发大批量数据，看是否可以修改成功

2.将web页面的CSS代码元素进行修改
eg：比如论坛网站写好脚本，当有人点击时，直接修改页面数据，获取用户的隐私信息，可从ui层进行检测漏洞

3.脚本控制本地主机获取用户的隐私
eg：通过文件方式，比如发送vbs脚本，本地打开后执行脚本，锁死电脑（可验证聊天软件对未知的文件或链接是否有警告或拦截功能）

4.sql注入
eg：针对http的请求，用整形或者字符串的方式修改网页的url，一半字段用‘&’符号连接，绝大部分的网址是没做处理的

5.破解加密方式
eg：MD5加密，即16或32位字符串，采用monkey组合方式，暴力破解（随机生成字符串，填充加密字段进行破解）