安全性测试
上一篇 / 下一篇 2011-12-31 10:31:57 / 个人分类:安全性测试
TAG:
- 引用 删除 zthua / 2011-12-31 10:41:20
-
浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST;
例:view-source:http地址可以查看源代码
在页面输入密码,页面不显示 “*****”;
在页面输入密码,页面显示的是 *****,
数据库中存的密码没有经过加密;
地址栏中可以看到刚才填写的密码;
右键查看源文件就可以看见刚才输入的密码;
9.目录设置
Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面,这样就不会显示该目录下的所有内容。如果没有执行这条规则。那么选中一幅图片,单击鼠标右键,找到该图片所在的路径"…com/objects/images"。然后在浏览器地址栏中手工输入该路径,发现该站点所有图片的列表。这可能没什么关系。但是进入下一级目录 "…com/objects" ,点击 jackpot。在该目录下有很多资料,其中有些都是已过期页面。如果该公司每个月都要更改产品价格信息,并且保存过期页面。那么只要翻看了一下这些记录,就可以估计他们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息,他们在谈判桌上肯定处于上风。
10.关于虚拟币(购买道具、赠送礼物、发喇叭)
1.币为0时,提示
2.币小于所购买礼物价值,提示
3.币等于所购买礼物价值
4.币大于所购买礼物价值
5.币不足购买超大值礼物(如99999)数据溢出依然赠送成功
标题搜索
日历
|
|||||||||
日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
1 | 2 | 3 | 4 | ||||||
5 | 6 | 7 | 8 | 9 | 10 | 11 | |||
12 | 13 | 14 | 15 | 16 | 17 | 18 | |||
19 | 20 | 21 | 22 | 23 | 24 | 25 | |||
26 | 27 | 28 | 29 | 30 | 31 |
我的存档
数据统计
- 访问量: 62469
- 日志数: 77
- 建立时间: 2010-07-16
- 更新时间: 2012-12-30