摘要：Cookie 提供了一种在Web 应用程序中存储用户特定信息的方法，例如存储用户的上次 访问时间等信息。假如不进行cookie存储一个网站的用户行为，那么可能会造成以下问题：用户进行购买几件商品转到结算页面时，系统怎样知道用户之前订了哪几件商品。因为，cookie其中一个作用就是记录用户操作系统的日 阅读全文

摘要：关于sql注入，作为一个测试人员是必须要关注的，当前关于web的安全性测试中sql注入已经成为了主流的漏洞之一，我们不容忽视。作为开发人员那就更 应该了解了，如果没能正确的认识sql注入，就很难做到防患于未然，因为我们大多数程序中之所以出现sql注入是由于程序缺乏很严谨的逻辑设计，还有一方 面就是开 阅读全文

摘要：在进行sql注入攻击测试之前，我先要把握sql注入的总体思路和切入点，具体如下几个方面： ·发现SQL注入位置； ·判断后台数据库类型； ·确定XP_CMDSHELL可执行情况 ·发现WEB虚拟目录 ·上传ASP木马； ·得到管理员权限； SQL注入攻击的种类 知彼知己，方可取胜。首先要清楚SQL注 阅读全文

摘要：1、 目录设置 Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页 面，这样就不会显示该目录下的所有内容。如果没有执行这条规则。那么选中一幅图片，单击鼠标右键，找到该图片所在的路径"… com/objects/images"。然后在浏览器地址栏中 阅读全文

摘要：1. 数据验证流程：一个好的web系统应该在IE端，server端，DB端都应该进行验证。但有不少程序偷工减料，script验证完了，就不管了;app server对数据长度和类型的验证与db server的不一样，这些都会引发问题。有兴趣的可参看一下script代码，设计一些case，这可是你作为 阅读全文