多线程如何避免死锁 web安全性测试用例(6)

看看自己上传的图片效果如何，这个怎么不显示？多试几次发现名字不包含中文就好了，下次注意下。

改改字体字号颜色美化环境嘛，怎么格式那里不显示正确的字体字号呢，将就用吧。

这里的记录条数怎么这么多啊？原来是没有删除按钮，看来下次不能随便加了。

这个结束时间怎么在开始时间前啊？原来没有进行控制，下面的人执行时……还是自己改过来吧。

上次我在这里看见的图片呢？刷新后就出来了，怎么和我玩捉迷藏呢？

多输了点内容，保存时候提示太多了，点确定后发现被清空了，我一个小时的工作啊！

听说F5是刷新点一下看看。怎么好像变成了登录界面？

刚学了怎么用TAB键，确实很方便。TAB一下。跑哪去了，怎么一片空白啊？？？

玩游戏的人点击速度那么快，我也来试试。怎么一双击就出错了？

我找错别字是很厉害的，这不就发现“同意”写成了“统一”。

这里提示只能输入1－100，我偏要输入9999……保存看看，怎么系统不能用了？

这里一点击就出现IE错误，硬是不弹出我需要的窗口。

这个查询按钮怎么灰掉了？这么多记录让我一页一页翻过去找啊。

上传第二个附件的时候怎么把第一个挤掉了啊，会挤掉也要提示一下嘛。

一个页面上打开的记录太多了，变体都用…省略了，要是鼠标放上去浮动显示完整标题就方便多了。

最最奇怪的是昨天上传时候正常的图片今天就不能显示了。我记得没有只能显示一天的功能啊？？？

这里怎么没有任何按钮呢，看手册才知道竟然要用右键进行操作，怎么突然冒出个异类啊？？？

这里怎么能增加两条相同的记录呢？不控制一下天知道手下那些愣头青会做出什么来。

这里的菜单一层一层又一层，足足有五层，把我头都绕晕了……我记得哪里说过最好不要超过三层的。

这个界面看起来怎么这么别扭啊，是字体太大了，是按钮太小了，还是功能太多了，……

怎么不是管理员登录进来也能管理啊，那我这个管理员的身份不是多此一举吗？

删除的时候提示Error，幸亏我英语水平好，可是你换成中文不行吗？

这条记录不是删除了吗，怎么还能引用啊，到时候出错了怎么办，难道还要我记住删了那些记录？

这几个页面上的当前日期怎么是固定不变的啊，这都是去年的日期了，不会是开发时候的吧。

一、工具扫描

目前web安全扫描器针对 XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。

商业软件web安全扫描器：有IBM Rational Appscan、WebInspect、Acunetix WVS

免费的扫描器：W3af 、Skipfish 等等

可以考虑购买商业扫描软件，也可以使用免费的，各有各的好处。

首先可以对网站进行的扫描操作，工具扫描确认没有漏洞或者漏洞已经修复后，再进行以下手工检测。

二、手工检测

1. 目录遍历

目录遍历产生的原因是：程序中没有过滤用户输入的“../”和“./”之类的目录跳转符, 导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

测试方法：在URL中输入一定数量的“../”和“./”，验证系统是否ESCAPE掉了这些目录跳转符。

2. 登陆

(1) 是否正确登陆

(2) 密码复杂度

(3) ...

3. 用户权限

(1) 用户权限控制

1) 用户权限控制主要是对一些有权限控制的功能进行验证

2) 用户A才能进行的操作，B是否能够进行操作（可通过窜session，将在下面介绍） 3）只能有A条件的用户才能查看的页面，是否B能够查看（可直接敲URL访问）

(2) 页面权限控制

1） 必须有登陆权限的页面，是否能够在不登陆情况下进行访问

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-67715-6.html