2021年软件测试课(4)

发布于 2021-05-10 11:42 ,所属分类:软件测试工程师学习资料

顾老师新书《全栈软件测试工程师宝典》

https://item.m.jd.com/product/10023427978355.html

以前两本书的网上购买地址:

《软件测试技术实战设计、工具及管理》:

https://item.jd.com/34295655089.html

《基于Django的电子商务网站》:

https://item.jd.com/12082665.html


4. 软件安全性测试(2天)

1、安全知识概要

1.1 WEB安全知识

1.1.1 五大白帽子黑客

1.1.2 0 day & 1 day

1.1.3 白帽子兵法

1.1.4 同源策略

1.2 HTML知识概要

1.2.1 HTML数据包

1.2.2 HTML请求包

1.2.3 HTML响应包

1.2.4 HTML无连接性&无状态性

2、安全扫描工具

2.1.1 Burp Suite

2.1.2 AWVS

2.1.3 AppScan

3、前端安全

3.1 XSS注入

3.1.1 XSS注入介绍

 XSS原理

 XSS类型

 XSS会话挟持

 XSS蠕虫

3.1.2 XSS测试技巧

容易出现注入处

富文本测试

测试技巧

3.1.3 XSS加固方法

转义

OWASP ESAPI Encode

其他API

使用安全域

加固总结

3.2 CSRF注入

3.2.1 CSRF原理

3.2.2 CSRF攻击场景-GET

3.2.3 CSRF攻击场景-POST

3.2.4 CSRF Test工具使用

3.2.5 CSRF token

3.2.6 CSRF防护方法

3.3点击挟持

3.3.1介绍

3.3.2 Google信息泄露事件

3.3.3测试方法

3.3.4防护方法

3.4 HTML5安全(0.5小时)

3.4.1 <audio><video>

3.4.2 iframe安全性

3.4.3 a标签的rel="noopener noreferrer" 属性

3.4.4 Canvas

3.4.5获取地理坐标

3.4.6本地存储

3.5 HTTP安全响应头

3.5.1安全响应头介绍

3.5.1工具

hsecscan

herokuapp

4、后端安全

4.1 SQL注入

4.1.1 SQL 注入基础知识

4.1.2 MySQL注入特性

4.1.3 SQL Server注入特性

4.1.4 Oracle注入特性简介

4.1.5测试方法和工具

SQL Map

Pangolin

Havij

4.1.6防护方法

4.2其他注入

4.2.1 XML注入

4.2.2 XPath注入

4.3.3 JSON注入

4.3.4 HTTP参数污染

4.3 信息侦探

4.3.1 Baidu Hack

4.3.2 Nmap

4.3.3 DirBuster

4.3.4指纹识别

4.4文件上传漏洞

解析漏洞

绕过上传漏洞

文本编辑器上传漏洞

修复上传漏洞

4.5 命令行漏洞

4.5.1 OS命令执行漏洞实例

4.5.2 PHP命令执行

4.5.3 JAVA命令执行

4.5.4框架执行漏洞

4.5.5防范命令行执行漏洞

4.6 XXE漏洞

4.6.1 XML介绍

4.6.2内部实体和外部实体

4.6.3参数实体

4.6.4通过XXE获取本地文件信息

4.6.5通过XXE获取远程文件信息

4.6.6 XXE加固措施

4.7文件包含漏洞

4.7.1包含漏洞原理解析

4.7.2PHP命令执行

4.7.3JAVA命令执行

4.7.4构建安全的包含

4.8逻辑漏洞挖掘

4.8.1水平越权

4.8.2垂直越权

4.8.3密码找回

4.8.4支付漏洞

4.8.5指定恶意账户登录-用户封锁

4.9加密与认证

4.9.1对称密钥与非对称密钥

4.9.2MD5

4.9.3认证防护

4.9.4会话管理安全

4.9.5传输层安全

4.10 DDOS攻击

4.11 URL跳转与钓鱼

5APP安全

5.1 APP安全介绍

5.2键盘挟持

5.3信息泄露

5.4 NFC卡信息泄露

5.5反编译工具介绍

5.5.1dex2jar+jdgui

5.5.2apktool

6、高级安全技术

6.1拖库

6.2暴力测试

6.3旁注攻击

6.4提权

6.5 ARP欺骗

7、安全测试步骤

7.1需求设计阶段

7.2代码阶段

7.3测试阶段

8 实战

案例:

演示二、Dom Bass XSS

演示三:cookie挟持

演示四:Post攻击

演示五:获取验证码

演示六:获取浏览器版本

演示七:绕过长度(一)用FireFox

演示八:绕过长度(二),用FireFox

演示九:绕过长度(三)用FireFox

演示十:windows.name的妙用(一)

演示十一:windows.name的妙用(二)

演示十二:两种Cookie

演示十四:通过POST发送CSRF请求

演示十五:点击挟持(ClickJacking

演示十六:HTML5 audio/video的支持

演示十七:验证码的破解

演示十八:显示当前坐标位置

演示十九:SQL注入的测试探索(一),显示所有字段

演示二十:SQL注入的测试探索(二),非法登录

演示二十一:检查数据库中是否存在某个表和某个字段

演示二十二:利用文件上传实现钓鱼

演示二十三:访问控制

演示二十四:绕过javascript控制

演示二十五:FireFox开发者工具分析Referrer

演示二十六:iframe标签 FireFox

演示二十七:HTTPOnly

演示二十八:PHP命令执行(一)代码执行

演示二十九:PHP命令执行(二)动态函数执行

演示三十:PHP命令执行(三)函数代码执行漏洞

演示三十一:PHP包含示例(一)本地包含

演示三十一:PHP包含示例(二)远程包含

演示三十二:PHP包含漏洞示例

演示三十三:JSP文件包含

演示三十四:HPP参数污染(),PHP

演示三十五:HPP参数污染(),JavaSevelet

演示三十六:参数污染(),绕过检查

演示三十七:客户端跳转

演示三十八:服务端跳转

演示三十八:钓鱼

演示三十九:模板安全

演示四十:构造PHP注入点

演示四十一:构造JSP注入点

演示四十二:CSRF攻击

演示四十三:xsser.me

演示四十四:XXE漏洞

演示四十五:HPP参数污染(),jsp

演示四十六:显示本地浏览器及其版本

演示四十七:iframe属性

演示四十八:rel="noopener noreferrer"

演示四十九:防钓鱼

演示:CSRF注入

演示:OS命令执行漏洞

演示:PHP命令执行

演示:命令行执行模型

演示:CVE-2019-0803漏洞提权

演示:XML注入

演示:XPath注入

演示:XXE for Java


顾老师专注企业内训和线下公开课,有兴趣者加顾老师xianggu0625


——————————————————————————————————

顾老师课程欢迎报名

软件安全测试

https://study.163.com/course/courseMain.htm?courseId=1209779852&share=2&shareId=480000002205486

接口自动化测试

https://study.163.com/course/courseMain.htm?courseId=1209794815&share=2&shareId=480000002205486

DevOps 和Jenkins之DevOps

https://study.163.com/course/courseMain.htm?courseId=1209817844&share=2&shareId=480000002205486

DevOps与Jenkins 2.0之Jenkins

https://study.163.com/course/courseMain.htm?courseId=1209819843&share=2&shareId=480000002205486

Selenium自动化测试

https://study.163.com/course/courseMain.htm?courseId=1209835807&share=2&shareId=480000002205486

性能测试第1季:性能测试基础知识

https://study.163.com/course/courseMain.htm?courseId=1209852815&share=2&shareId=480000002205486

性能测试第2季:LoadRunner12使用

https://study.163.com/course/courseMain.htm?courseId=1209980013&share=2&shareId=480000002205486

性能测试第3季:JMeter工具使用

https://study.163.com/course/courseMain.htm?courseId=1209903814&share=2&shareId=480000002205486

性能测试第4季:监控与调优

https://study.163.com/course/courseMain.htm?courseId=1209959801&share=2&shareId=480000002205486

Django入门

https://study.163.com/course/courseMain.htm?courseId=1210020806&share=2&shareId=480000002205486

啄木鸟顾老师漫谈软件测试

https://study.163.com/course/courseMain.htm?courseId=1209958326&share=2&shareId=480000002205486


相关资源