web安全测试主要都有哪些漏洞

Posted 2023-04-24

以下类型的安全漏洞

权控缺失

系统未能正确分配用户的权限，用户能执行超出自己职能范围的操作，这类漏洞称为权控缺失。权控缺失分为两类：平行越权、垂直越权。

逻辑漏洞

逻辑漏洞通常是由于程序逻辑不严密或逻辑太复杂,导致一些逻辑分支被绕过或处理错误。常见漏洞包括:任意密码修改(没有旧密码验证)、密码找回漏洞、业务数据篡改等。逻辑漏洞的出现易造成账号被盗、免费购物,游戏应用易造成刷钱、刷游戏币等严重问题。

条件竞争

服务端在做并发编程时，需要考虑到条件竞争的情况。在多个并发线程同时访问同一资源时，由于对请求的处理不是原子性的，无法预测调度的顺序，就可能由于时间序列上的冲突而造成对共享资源的操作混乱。 

XSS跨站脚本攻击

是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，提交的数据被WEB应用程序直接使用，使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

参考技术A 建议腾讯电脑管家修复，系统漏洞经常被黑客利用传播恶意程序（如网页挂马），必须及时修复系统漏洞才能有效防止计算机在上网时被黑客入侵，不过如果安装了安全软件，并且漏洞介绍看起来不是那么严重的话，可以选择不修复。
Windows系统漏洞是指操作系统在开发过程中存在的技术缺陷，这些缺陷可能导致其他用户在未被授权的情况下非法访问或攻击计算机系统。因此，系统开发商一般每月都会发布最新的补丁用以修复新发现的漏洞。目前，腾讯电脑管家支持修复Windows操作系统漏洞和部分第三方软件漏洞本回答被提问者采纳

web测试方法都有哪些？测试技术又都有哪些？软件测试工具又都有哪些呢，优劣势分别是啥

网上搜了都说大概有功能测试、性能测试（包括负载/压力测试） 、用户界面测试 、兼容性测试 、安全测试等着几种，这到底是技术还是方法啊？

web网站本质上带有web服务器和客户端浏览器的C/S结构的应用程序。主要考虑web页面、TCP/IP通讯、Internet链接、防火墙和运行在 web页面上的一些程序(例如，applet、javascrīpt、应用程序插件)，以及运行在服务器端的应用程序(例如，CGI脚本、数据库接口、日志程序、动态页面产生器，asp等)。另外，因为服务器和浏览器类型很多，不同版本差别很小，但是表现出现的结果却不同，连接速度以及日益迅速的技术和多种标准、协议。使得web测试成为一项正在不断研究的课题。其它要考虑的如下：

1、服务器上期望的负载是多少(例如，每单位时间内的点击量)，在这些负载下应该具有什么样的性能(例如，服务器反应时间，数据库查询时间)。性能测试需要什么样的测试工具呢(例如，web负载测试工具，其它已经被采用的测试工具，web 自动下载工具，等等)?

2、系统用户是谁?他们使用什么样的浏览器?使用什么类型的连接速度?他们是在公司内部(这样可能有比较快的连接速度和相似的浏览器)或者外部(这可能有使用多种浏览器和连接速度)?

3、在客户端希望有什么样的性能(例如，页面显示速度?动画、applets的速度等?如何引导和运行)?

4、允许网站维护或升级吗?投入多少?

5、需要考虑安全方面(防火墙，加密、密码等)是否需要，如何做?怎么能被测试?需要连接的Internet网站可靠性有多高?对备份系统或冗余链接请求如何处理和测试?web网站管理、升级时需要考虑哪些步骤?需求、跟踪、控制页面内容、图形、链接等有什么需求?

6、需要考虑哪种HTML规范?多么严格?允许终端用户浏览器有哪些变化?

7、页面显示和/或图片占据整个页面或页面一部分有标准或需求吗?

8、内部和外部的链接能够被验证和升级吗?多久一次?

9、产品系统上能被测试吗?或者需要一个单独的测试系统?浏览器的缓存、浏览器操作设置改变、拨号上网连接以及Internet中产生的“交通堵塞”问题在测试中是否解决，这些考虑了吗?

10、服务器日志和报告内容能定制吗?它们是否被认为是系统测试的主要部分并需要测试吗?

11、CGI程序、applets、javascrīpts、ActiveX 组件等能被维护、跟踪、控制和测试吗?

测试技术大体分为黑盒和白盒测试，当然有的还用灰盒测试。
而功能、性能、用户界面、兼容性、安全测试都属于测试方法。大部分的测试是手动的，用基本的办公软件就可以解决；部分白盒测试需要了解程序内部的语句、数据结构和算法逻辑。
现在企业认同的高名气软件就是功能测试工具：QTP 性能测试工具：LOADRUNNER
bug追踪、记录工具：Bugfree、Bugzilla、TD等，用一个即可。
而QTP和LOADRUNNER是性能非常庞大的软件，如果可以熟练的分析出录制的内容，那么就入门了。可以运用到工作上。
说道这些软件的劣势，就是实现自动化需要这个团队购买正版软件、组织和培训组内成员进行新知识的培训。这些都是成本的一部分。 参考技术A 具体的技术术语应该叫黑盒、白盒测试吧 参考技术B 功能测试QTP,RFT.性能测试loadrunner.