web测试中关于post与get请求的测试
上一篇 /
下一篇 2013-05-28 14:30:58
/ 个人分类:安全性测试
http的访问本身是无状态的,那么系统则么才能辨认收到请求是属于哪个用户的呢?
我们伟大的程序员想到了用状态值来辨认请求是属于哪个用户,一旦在系统开发过程中没有对状态值做统一的规范就会给我们
测试过程中带来大量乐趣,
我们需要用到火狐浏览器的firebug插件 当然google,ie的f12也能达到查看请求的目的。
在测试过程中我们可以打开f12来观察测试过程中网络的请求的各种行为,特别注意在post请求时,是否可以重复提交,非法提交,等对服务器的异常请求而带来的安全隐患。下面的是一个网站在编辑用户资料时候post请求的数据
| userinfo.address | | | userinfo.birthday | | | userinfo.email | jmeter_mail_4_1@qq.com | | userinfo.mobile | | | userinfo.name | jmeter_name_4_1-update1 | | userinfo.telephone | | | userinfo.userId | 100007 | | userinfo.userInfoId | 100004 |
|
|
|
可以注意到请求参数最后两行很明显是程序员用来定位请求用户的,那是不是可以修改这两个参数达到篡改其他用户资料的目的呢?测试发现是可以的,大家可以右键post请求点击“复制带参数的请求”然后篡改问题参数,然后在地址栏中发出请求。
当然了,讲究一点话可以使用自己熟悉的脚本语言将这样的测试写成脚本,利用通用测试技术就可以将这些发现的问题编辑成测试库,从而实现对这些问题的回归测试。
收藏
举报
TAG:
