测试工具简介:
Tamper IE
HTTP数据包修改、转发工具(Firefox插件)
burpsuite
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
测试方法简介:
1、订单操作的提交与回退,判断重要操作的状态
2、密码的明文检查
3、协议包的编辑和转发,验证服务器端判断服务处理
4、注入式攻击代码的检查
5、验证码和密码是否可暴力破解
安全实例:
SQL注入:
"1 and '1'='1"
like 代替 ==
空格替换 #,随机字符和换行符
XSS注入:
<script>alert(1)</script>
%3Cscript%3Ealert(1)%3C%2Fscript%3E
"><script>alert(1)</script>
%22%3E%3Cscript%3Ealert(1)%3C%2Fscript%3