:::info
💡 根据 遗忘曲线:如果没有记录和回顾,6天后便会忘记75%的内容
笔记正是帮助你记录和回顾的工具,不必拘泥于形式,其核心是:记录、翻看、思考
:::
| 书名 | OWASP安全测试指南 |
|---|---|
| 作者 | 阿蒙 |
| 状态 | 待开始 阅读中 已读完 |
| 简介 | 为了在测试的时候,流程更清晰,更系统,不遗漏漏洞点,特根据owasp 安全测试指南V4来总结自己的一套方法论。 |
思维导图
用思维导图,结构化记录本书的核心观点。
业务逻辑
数据验证
对于数据,有前端和后端验证,前端是可以通过抓包绕过的,主要看后端的处理。
对前端系统数据进行有效性测试,确保只接受有效的数据。 抓包查看可篡改的参数点,如花费,数量。 特别是数字的参数,1改0,0改1等,这种有可能是有效和无效的判定。 所有输入验证的测试用例。
文件上传
是的,文件上传也是业务逻辑中非常重要的一环,很多业务都是需要上传附件的,对附件的校验失误,会导致非常严重的问题。
非预期文件类型上传 恶意文件上传 不在这里赘述,文件上传还涉及很多绕过waf的技巧。
若有收获,就点个赞吧
0 人点赞
