安全测试

测试工具简介：

Tamper IE

HTTP数据包修改、转发工具（Firefox插件）

burpsuite

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。

 

测试方法简介：

1、订单操作的提交与回退，判断重要操作的状态

2、密码的明文检查

3、协议包的编辑和转发，验证服务器端判断服务处理

4、注入式攻击代码的检查

5、验证码和密码是否可暴力破解

 

 

安全实例：

SQL注入：

"1 and '1'='1"

like 代替 ==

空格替换 #，随机字符和换行符

 

 

XSS注入：

<script>alert(1)</script>

%3Cscript%3Ealert(1)%3C%2Fscript%3E

"><script>alert(1)</script>

 

%22%3E%3Cscript%3Ealert(1)%3C%2Fscript%3