51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1846|回复: 0
打印 上一主题 下一主题

[原创] Web安全测试FAQ

[复制链接]
  • TA的每日心情
    无聊
    昨天 09:06
  • 签到天数: 530 天

    连续签到: 2 天

    [LV.9]测试副司令

    跳转到指定楼层
    1#
    发表于 2018-12-4 16:07:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    【FAQ1:如何查看源文件?】
    问题描述:如何查看源文件?
    解决方案:
    1. 一般情况下:在web页面点击右键,在右键菜单中选择“查看源文件”选项。
    2. 该web页面的右键功能被锁定:在浏览器的主菜单中找到“查看”,在其下拉列表中选择“查看源代码”选项;
    3.该web页面采用没有主菜单的框架设计:建议使用带有“解除右键锁定”插件的浏览器,例如使用遨游浏览器(Maxthon),可以安装其鼠标解锁插件(EnableRightClick)。

    【FAQ2:框架类型的web,如何获得主页面的真实URL?】
    问题描述:框架类型的web,浏览器地址栏中显示的URL一般不是主页面的实际URL,如何获得主页面的真实URL?
    解决方案:开启webscarab,使用代理,拦截GET和POST类型的HTTP请求,可以获得所有操作过程中涉及的URL。

    【FAQ3:为什么在地址栏输入URL,有时可以正常打开页面,有时候不能?】
    问题描述:为什么在地址栏输入URL,有时可以正常打开页面,有时候不能?
    原因分析:这种情况并不是真正的通过URL绕过鉴权的安全漏洞。由于浏览器会自动记录会话ID(SessionID),即使关闭了访问原web的tab页,只要不关闭浏览器本身,这些会话ID依然不会清空,这时输入URL,它会继承前次会话ID。
    解决方案:记录URL后,关闭浏览器重启,或使用其他浏览器,然后再在地址栏内输入URL进行访问。

    【FAQ4:为什么有些输入数据,在提交时,HTTP代理(如webscarab)却拦截不到呢?】
    问题描述:为什么有些输入数据,在提交时,HTTP代理(如webscarab)却拦截不到呢?
    原因分析:目前有些web使用了AJAX技术,当用户在页面的一些输入域中输入数据时,AJAX会自动在后台发送这些数据。如果测试者在填写完所有的输入域后,再配置HTTP代理,那么,在这之前通过AJAX提交的数据就拦截不到了。
    解决方案:建议在填写数据前就配置webscarab代理。

    【FAQ5:当产品由于特殊原因(比如客户需求、特殊的应用场景),无法满足《Web安全测试规范》的一些安全性要求时,应该怎么办?】
    问题描述:当产品由于特殊原因(比如客户需求、特殊的应用场景),无法满足《Web安全测试规范》的一些安全性要求时,应该怎么办?
    解决方案:请准备好相关材料和说明,联系安全测试小组(何伟祥)讨论出具体实施方案。

    【FAQ6:AppScan对登陆页面含有验证码的Web应用无法进行扫描】
    问题描述:由于会话超时或主动注销,导致会话ID失效,AppScan无法再对需要登录才能访问的URL进行扫描。
    解决方案:录制登录之后,在scan configuration设置中,对login management下保存的参数中的会话ID进行设置,取消掉对JSESSIONID的tracking。这样再进行扫描就不会出现会话超时了

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 02:35 , Processed in 0.062388 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表