51Testing软件测试论坛

标题: web安全测试-跨站点脚本攻击(三) [打印本页]

作者: 阿里吧吧    时间: 2008-8-21 22:29
标题: web安全测试-跨站点脚本攻击(三)
总结

  XSS 测试通常只是整个 Web 应用程序安全性审查工作的一小部分,但是在执行测试时必须细致和彻底。在多年的工作中,我一直强调使用电子表格或其他方式来记录站点的所有页面,以及每个页面接受的输入值(查询字符串、cookie、POST 数据、SOAP),这是在测试前必须进行的一个重要步骤。与此同等重要的是,理解输入以及它在输出的 HTML 页面上的呈现方式。如果您知道了应用程序处理输入的方式,就会非常迅速地完成许多工作。不要浪费时间测试那些不会作为输出显示的输入。与开发人员和 PM 进行交流,并在开始测试前建立完善的威胁模型。

  必须细致和彻底。在多年的工作中,我一直强调使用电子表格或其他方式来记录站点的所有页面,以及每个页面接受的输入值(查询字符串、cookie、POST 数据、SOAP),这是在测试前必须进行的一个重要步骤。与此同等重要的是,理解输入以及它在输出的 HTML 页面上的呈现方式。如果您知道了应用程序处理输入的方式,就会非常迅速地完成许多工作。不要浪费时间测试那些不会作为输出显示的输入。与开发人员和 PM 进行交流,并在开始测试前建立完善的威胁模型。
作者: baobao72931    时间: 2010-4-26 16:18

作者: msnshow    时间: 2010-4-27 13:56
很有难度,内容太多,只能用安全性检查工具来测试
作者: qzj_test    时间: 2010-6-3 19:17
不明白
作者: hbch521    时间: 2011-4-21 10:10
您的那个表格是否能给一份呢
作者: 1qazse4    时间: 2011-6-2 10:43
OK  xiexie la




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2