我帮大家整理一些有意思的例子,提升大家的安全测试水平。
二、搭建示例 站
使用docker
完成的效果 如下图:
2、搜索search这个关键词,这是个模块的路由。看是否有隐藏的路由。我们可以找到有score-board,administation等。
第二关:登陆管理员账户 类型:sql注入
1、点击帐户,进入登陆页面,在用户名中输入注入 的用例 ’ or 0=0 –(可参考我写的安全用例https://www.jianshu.com/p/658f10a66acc),密码随便输入,点击登陆。
第三关:是否有Xss注入的漏洞 类型:Xss攻击
在搜索框中输入xss注入用例(参考我写的安全用例https://www.jianshu.com/p/658f10a66acc)
,
如果出现弹出框,就表示这个脚本运行了。如果换成其他攻击脚本也会执行。所有有这方面的漏洞。
2、删除button的属性:disabled=“true”,mat-button-disabled,右键选择edit as html,删除后如下图:
4、点击提交,在network中找到发送成功并且rating:0评价是0.
第五关:登陆管理员页面 类型:失效的访问控制
1、在第一关通过查看前端js得到一些路由-url的路径
3、思考:访问管理员权限下的界面是否需要验证管理员的身份。于是先使用上面sql注入闯关的登陆管理员,再访问管理员页面地址http://IP:8001/#/administation,于是成功显示了只有管理员拥有的功能,可以查看所有注册的用户及客户反馈。
2、连接查看其他图片,并使用F12进入元素界面查看图片的原地址,并进行访问。
4、在前端页面我们把这个地址修改正确就行了。
3、成功后刷新购物车的响应如下:
在这里我向大家推荐一个自动化学习交流群。交流学习群 :914172719 里面会分享一些资深架构师录制的测试有关视频录像…
如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “点赞” “评论” “收藏” 一键三连哦!
好文推荐
转行面试,跳槽面试,软件测试人员都必须知道的这几种面试技巧!
面试经:一线城市搬砖!又面软件测试岗,5000就知足了…
面试官:工作三年,还来面初级测试怕你的软件测试工程师的头衔要加双引 …
什么样的人适合从事软件测试工作/p>
那个准点下班的人,比我先升职了…
测试岗反复跳槽,跳着跳着就跳没了…
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树容器编排(学习环境 k8s)安装kubectl8597 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!