一、背景 公司新产品体验,发现不少交互、UI、功能设计上的小问题。于是花了点时间随意挑了几个功能深入的玩了一下,顺手提了BUG。接口层,看了一下接口文档,简单测了一下接口,BUG其实还挺严重的,后面详细分析,为了顾及服务器后台大佬(架构师)的面子,费时费力在APP测试短信验证码服务器与APP整体处理 ...
分类:
其他好文 时间:
2018-06-15 19:15:06
阅读次数:
215
burpsuite插件编写---sqlinjection0x00概要在安全测试过程中,大部分人会使用burpsuite的scanner模块进行测试,可以发现一些浅显的漏洞:比如xss、sqlinjection、c*f、xxe、ArbitraryfileexistencedisclosureinAct、明文传输等。说到sqlinjection,测试人员都会有一种想法是否存在一款自动化工具,可以将某一
分类:
数据库 时间:
2018-06-12 00:13:41
阅读次数:
215
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误。 1、输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好 ...
分类:
其他好文 时间:
2018-06-11 01:57:13
阅读次数:
172
一、安全测试 1.软件权限 1)扣费风险:包括短信、拨打电话、连接网络等。 2)隐私泄露风险:包括访问手机信息、访问联系人信息等。 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息功能 6)限制或使用本地连接 ...
分类:
移动开发 时间:
2018-06-08 23:16:42
阅读次数:
288
Burpsuite编写插件环境搭建在安全测试过程中,我们经常会使用到burpsuite,在burp中允许我们自己编写插件,在Extender-BAppStore中可以选择我们要安装的插件:但是有时候找不到我们需要的插件,这时候需要我们自己编写,burp支持使用python、java、ruby三种语言。下面我来讲解一下如何使用python编写burpsuite插件。(我是在windows下操作的,其
分类:
其他好文 时间:
2018-06-04 19:23:26
阅读次数:
658
【摘要】 之前在某次安全测试时,遇到一个80端口被占用的坑,将解决方法共享出来。 使用netstat -ano 命令查看是哪个进程正在占用80端口 之前在某次安全测试时,遇到一个80端口被占用的坑,将解决方法共享出来 使netstat -ano 命令查看是哪个进程正在占用80端口 PID为4的进程正 ...
分类:
其他好文 时间:
2018-06-04 11:34:38
阅读次数:
181
1、给你一个APP,你该如何进行测试? (1)功能测试 主要测试APP的流程和业务要求是否达标(手动和自动化结合测试) (2)性能测试 关注APP的性能参数:CPU、FPS、内存、耗电量、流量,同时关注APP的安装和启动耗时 (3)接口测试 关注数据的传送,数据的安全加密 (4)安全测试 APP内涉 ...
分类:
其他好文 时间:
2018-05-28 00:57:12
阅读次数:
177
一、输入框测试 web应用系统中,通常会有各种输入框输入的操作。根据平时的测试整理了如下: 二、用户权限测试 三、安全测试 安全测试现在接触的不多,后面补充: ...
分类:
Web程序 时间:
2018-05-21 19:34:04
阅读次数:
209
在app测试中,有个不可忽视的测试方向,就是安装、卸载和更新,有很多人问到了这个问题,我就在这里做了一个总结,有补充的请留言哦 安装 1.正常安装测试,检查是否安装成功。 2.APP版本覆盖测试。例如:先安装一个1.0版本的APP,再安装一个高版本(1.1版本)的APP,检查是否被覆盖。 3.回退版 ...
分类:
移动开发 时间:
2018-05-21 16:10:26
阅读次数:
270
软件测试工程师,顾名思义对软件进行相关测试工作的人员,包括功能性测试、性能测试、安全测试等等。对人员的要求从以前的黑盒测试发展到现在需要测试人员自己写测试脚本、测试工具等。这是顺应潮流的事情,也对软件测试工程师提出新的要求、新的能力。如果不具备走读代码、不具备写测试脚本,自己固步自封,那么终有一天会 ...
分类:
其他好文 时间:
2018-05-12 20:35:06
阅读次数:
138