一个网站安全测试案例

上一篇 / 下一篇  2009-07-12 12:45:30 / 个人分类:网站安全

查看( 1133 ) / 评论( 0 ) / 评分( 0 / 0 )
前几天一个关于网站安全的紧急发布, 这里分享一下测试过程.
by六太@20090712
紧急发布的内容如下.
为了防止某些钓鱼网站, 服务器针对某些页面的referrer进行了校验, 必须是https以及其他一些关键字组成, 否则判定为钓鱼网站, 这样针对referrer的初级校验, 能够防止绝大部分低级钓鱼. 但是由于有一些页面referrer为空值, 而程序中认为空值也是非法的, 所以的导致了部分用户无法付款, 所以紧急发布的内容就是, 如果referrer为空, 默认无风险. 
代码实现起来容易, 但是测试比较困难, 因为你无法用firebug去修改referrer值, 因为referrer是只读属性. 使用中间页面跳转, 成本太大. 
loadrunner就非常轻易的就解决了这个测试难点, 脚本录制好后, 你很容易发现, referrer值就在脚本里面, 你想改什么就改成什么. 

web_url("Test",
  "URL=https://www.gmail.com/",
  "Resource=0",
  "RecContentType=text/html",
  "Referer=https://www.gmail.com",
  "Snapshot=t1.inf",
  "Mode=HTTP",
  LAST);


收藏 举报

TAG: http HTTP 网站安全 LoadRunner loadrunner referer referrer 安全测试 钓鱼网站

 

评分:0

我来说两句

日历

« 2024-04-23  
 123456
78910111213
14151617181920
21222324252627
282930    

数据统计

  • 访问量: 7867
  • 日志数: 12
  • 建立时间: 2009-06-30
  • 更新时间: 2009-07-20

RSS订阅

Open Toolbar