网站开发中都引用什么文献,网站定制开发哪家厉害,wordpress add_editor_style,提高网站排名软件#x1f345; 点击文末小卡片#xff0c;免费获取软件测试全套资料#xff0c;资料在手#xff0c;涨薪更快一、测试范围管理系统#xff1a;url、登录框、搜索框、输入框、文件上传、文件下载 客户端#xff1a;搜索框、输入框、文件上传、系统功能二、测试点密码安全XS…点击文末小卡片免费获取软件测试全套资料资料在手涨薪更快一、测试范围管理系统url、登录框、搜索框、输入框、文件上传、文件下载客户端搜索框、输入框、文件上传、系统功能二、测试点密码安全XSS注入SQL注入操作越权上传安全下载安全三、工具fiddlersqlmap四、测试过程1、密码安全1密码输入错误次数超限会锁定账号2除了账号密码需要图形验证码或短信验证码3用户名不存在和密码错误需提示用户名或密码错误4密码传输非明文传输且加密类型不能太简单如仅通过md5加密日志系统中也不能将明文密码打印出来5密码加密存储6用系统默认账号admin/123456、admin/admin、root/123456等是否可以登录系统7用fiddler拦截请求将响应报文改成登录成功的报文无法登录系统2、XSS注入1在输入框中输入XSS注入脚本如scriptalert(test)/script img src onerrorconsole.log(test); img src onerroralert(x)保存成功后看页面是否有执行2若前端有拦截无法输入拦截请求在请求报文中添加相应脚本是否能保存成功3、SQL注入1在url的参数后面改成xxx1or11能否跳转相应页面2通过sqlmap对url中存在的SQL注入进行测试需python环境3在搜索框中输入1or11或者‘ and %是否能查询出所有结果4、操作越权在进行查看账单、查看xx记录等处通过拦截请求修改查询参数为非该用户的数据是否可查出、操作相关数据5、文件上传1是否能上传.jsp、.exe、.bat格式的文件2文件上传的目录是否可执行3上传时是否暴露文件的绝对路径6、文件下载1文件下载是否可以通过修改路径下载其它文件2需权限下载的文件是否可以绕过鉴权直接访问链接进行文件下载五、总结测试搜索框时发现输入包含(的条件会报错输入()时会返回所有数据是搜索条件处理不当导致需登记到典型问题之后有搜索框的测试中补充相应测试用例进行覆盖。最后感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走这些资料对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴我走过了最艰难的路程希望也能帮助到你凡事要趁早特别是技术行业一定要提升技术功底。