2021年软件测试课(4)
发布于 2021-05-10 11:42 ,所属分类:软件测试工程师学习资料
顾老师新书《全栈软件测试工程师宝典》
https://item.m.jd.com/product/10023427978355.html
以前两本书的网上购买地址:
《软件测试技术实战设计、工具及管理》:
https://item.jd.com/34295655089.html
《基于Django的电子商务网站》:
https://item.jd.com/12082665.html
4. 软件安全性测试(2天)
1、安全知识概要
1.1 WEB安全知识
1.1.1 五大白帽子黑客
1.1.2 0 day & 1 day
1.1.3 白帽子兵法
1.1.4 同源策略
1.2 HTML知识概要
1.2.1 HTML数据包
1.2.2 HTML请求包
1.2.3 HTML响应包
1.2.4 HTML无连接性&无状态性
2、安全扫描工具
2.1.1 Burp Suite
2.1.2 AWVS
2.1.3 AppScan
3、前端安全
3.1 XSS注入
3.1.1 XSS注入介绍
XSS原理
XSS类型
XSS会话挟持
XSS蠕虫
3.1.2 XSS测试技巧
容易出现注入处
富文本测试
测试技巧
3.1.3 XSS加固方法
转义
OWASP ESAPI Encode
其他API
使用安全域
加固总结
3.2 CSRF注入
3.2.1 CSRF原理
3.2.2 CSRF攻击场景-GET
3.2.3 CSRF攻击场景-POST
3.2.4 CSRF Test工具使用
3.2.5 CSRF token
3.2.6 CSRF防护方法
3.3点击挟持
3.3.1介绍
3.3.2 Google信息泄露事件
3.3.3测试方法
3.3.4防护方法
3.4 HTML5安全(0.5小时)
3.4.1 <audio>、<video>
3.4.2 iframe安全性
3.4.3 a标签的rel="noopener noreferrer" 属性
3.4.4 Canvas
3.4.5获取地理坐标
3.4.6本地存储
3.5 HTTP安全响应头
3.5.1安全响应头介绍
3.5.1工具
hsecscan
herokuapp
4、后端安全
4.1 SQL注入
4.1.1 SQL 注入基础知识
4.1.2 MySQL注入特性
4.1.3 SQL Server注入特性
4.1.4 Oracle注入特性简介
4.1.5测试方法和工具
SQL Map
Pangolin
Havij
4.1.6防护方法
4.2其他注入
4.2.1 XML注入
4.2.2 XPath注入
4.3.3 JSON注入
4.3.4 HTTP参数污染
4.3 信息侦探
4.3.1 Baidu Hack
4.3.2 Nmap
4.3.3 DirBuster
4.3.4指纹识别
4.4文件上传漏洞
解析漏洞
绕过上传漏洞
文本编辑器上传漏洞
修复上传漏洞
4.5 命令行漏洞
4.5.1 OS命令执行漏洞实例
4.5.2 PHP命令执行
4.5.3 JAVA命令执行
4.5.4框架执行漏洞
4.5.5防范命令行执行漏洞
4.6 XXE漏洞
4.6.1 XML介绍
4.6.2内部实体和外部实体
4.6.3参数实体
4.6.4通过XXE获取本地文件信息
4.6.5通过XXE获取远程文件信息
4.6.6 XXE加固措施
4.7文件包含漏洞
4.7.1包含漏洞原理解析
4.7.2PHP命令执行
4.7.3JAVA命令执行
4.7.4构建安全的包含
4.8逻辑漏洞挖掘
4.8.1水平越权
4.8.2垂直越权
4.8.3密码找回
4.8.4支付漏洞
4.8.5指定恶意账户登录-用户封锁
4.9加密与认证
4.9.1对称密钥与非对称密钥
4.9.2MD5
4.9.3认证防护
4.9.4会话管理安全
4.9.5传输层安全
4.10 DDOS攻击
4.11 URL跳转与钓鱼
5、APP安全
5.1 APP安全介绍
5.2键盘挟持
5.3信息泄露
5.4 NFC卡信息泄露
5.5反编译工具介绍
5.5.1dex2jar+jdgui
5.5.2apktool
6、高级安全技术
6.1拖库
6.2暴力测试
6.3旁注攻击
6.4提权
6.5 ARP欺骗
7、安全测试步骤
7.1需求设计阶段
7.2代码阶段
7.3测试阶段
8 实战
案例:
演示二、Dom Bass XSS
演示三:cookie挟持
演示四:Post攻击
演示五:获取验证码
演示六:获取浏览器版本
演示七:绕过长度(一)用FireFox
演示八:绕过长度(二),用FireFox
演示九:绕过长度(三)用FireFox
演示十:windows.name的妙用(一)
演示十一:windows.name的妙用(二)
演示十二:两种Cookie
演示十四:通过POST发送CSRF请求
演示十五:点击挟持(ClickJacking)
演示十六:HTML5 audio/video的支持
演示十七:验证码的破解
演示十八:显示当前坐标位置
演示十九:SQL注入的测试探索(一),显示所有字段
演示二十:SQL注入的测试探索(二),非法登录
演示二十一:检查数据库中是否存在某个表和某个字段
演示二十二:利用文件上传实现钓鱼
演示二十三:访问控制
演示二十四:绕过javascript控制
演示二十五:用FireFox开发者工具分析Referrer
演示二十六:iframe标签 用FireFox
演示二十七:HTTPOnly
演示二十八:PHP命令执行(一)代码执行
演示二十九:PHP命令执行(二)动态函数执行
演示三十:PHP命令执行(三)函数代码执行漏洞
演示三十一:PHP包含示例(一)本地包含
演示三十一:PHP包含示例(二)远程包含
演示三十二:PHP包含漏洞示例
演示三十三:JSP文件包含
演示三十四:HPP参数污染(一),PHP
演示三十五:HPP参数污染(二),JavaSevelet
演示三十六:参数污染(三),绕过检查
演示三十七:客户端跳转
演示三十八:服务端跳转
演示三十八:钓鱼
演示三十九:模板安全
演示四十:构造PHP注入点
演示四十一:构造JSP注入点
演示四十二:CSRF攻击
演示四十三:xsser.me
演示四十四:XXE漏洞
演示四十五:HPP参数污染(二),jsp
演示四十六:显示本地浏览器及其版本
演示四十七:iframe属性
演示四十八:rel="noopener noreferrer"
演示四十九:防钓鱼
演示:CSRF注入
演示:OS命令执行漏洞
演示:PHP命令执行
演示:命令行执行模型
演示:CVE-2019-0803漏洞提权
演示:XML注入
演示:XPath注入
演示:XXE for Java
顾老师专注企业内训和线下公开课,有兴趣者加顾老师xianggu0625
——————————————————————————————————
顾老师课程欢迎报名
软件安全测试
https://study.163.com/course/courseMain.htm?courseId=1209779852&share=2&shareId=480000002205486
接口自动化测试
https://study.163.com/course/courseMain.htm?courseId=1209794815&share=2&shareId=480000002205486
DevOps 和Jenkins之DevOps
https://study.163.com/course/courseMain.htm?courseId=1209817844&share=2&shareId=480000002205486
DevOps与Jenkins 2.0之Jenkins
https://study.163.com/course/courseMain.htm?courseId=1209819843&share=2&shareId=480000002205486
Selenium自动化测试
https://study.163.com/course/courseMain.htm?courseId=1209835807&share=2&shareId=480000002205486
性能测试第1季:性能测试基础知识
https://study.163.com/course/courseMain.htm?courseId=1209852815&share=2&shareId=480000002205486
性能测试第2季:LoadRunner12使用
https://study.163.com/course/courseMain.htm?courseId=1209980013&share=2&shareId=480000002205486
性能测试第3季:JMeter工具使用
https://study.163.com/course/courseMain.htm?courseId=1209903814&share=2&shareId=480000002205486
性能测试第4季:监控与调优
https://study.163.com/course/courseMain.htm?courseId=1209959801&share=2&shareId=480000002205486
Django入门
https://study.163.com/course/courseMain.htm?courseId=1210020806&share=2&shareId=480000002205486
啄木鸟顾老师漫谈软件测试
https://study.163.com/course/courseMain.htm?courseId=1209958326&share=2&shareId=480000002205486
相关资源