分类目录归档：杂记

web 安全测试要点分享

摘要:
下文讲述web安全测试的相关知识，如下所示:

一、系统用户权限测试

此模块主要测试:
1.1 无模块的访问权限禁止访问模块
1.2 同时两个用户登录系统，是否出现权限切换错乱
1.3 用户直接通过url是否可以访问无权限模块
1.4 页面访问流程，是否由系统指定的路径，禁止跳跃路径访问

二、url交互方式

url的交互方式是否按系统指定的方式访问，使用get post 禁止以外的其它方式访问。
后台接收的url参数是否都进行了验证
重要及敏感信息是否进行了隐藏或加密处理
例:
金额信息是否可以通过在url中修改，然后提交。

是否处理了XSS脚本攻击

例:
我们在浏览论坛时候，回帖的时，我们输入脚本
<script>alert(“hello”);</script>”

提交后台保存后，其它电脑浏览此页面时，此脚本如果被执行，则代表此网站我们可以对其进行XSS脚本攻击

三、sql注入攻击处理

四、session测试

用户是否可以虚拟session的方式进入系统
多标签页面，之间的用户权限是否会混乱
session超时是否进行了相关处理

摘要:
下文讲述在windows中，实现无限循环的方法分享，如下所示:

实现思路:
采用goto 标签，无限制的调用命令行，使命令无限的运行下去

dos 无限循环命令

:label
goto label

举例应用:

@echo off
cls

:label
echo '无限循环中...'
goto label

摘要:
下文讲述c#中SqlDbType同DbType之间的对应关系，如下所示:

1.c# SqlDbType同DbType之间对应关系

c#类型	sqlserver类型
SqlDbType.BigInt	DbType.Int64
SqlDbType.Binary	DbType.Binary
SqlDbType.Bit	DbType.Boolean
SqlDbType.Char	DbType.AnsiStringFixedLength
SqlDbType.DateTime	DbType.DateTime
SqlDbType.Decimal	DbType.Decimal
SqlDbType.Float	DbType.Double
SqlDbType.Image	DbType.Binary
SqlDbType.Int	DbType.Int32
SqlDbType.Money	DbType.Currency
SqlDbType.NChar	DbType.StringFixedLength
SqlDbType.NText	DbType.String
SqlDbType.NVarChar	DbType.String
SqlDbType.Real	DbType.Single
SqlDbType.UniqueIdentifier	DbType.Guid
SqlDbType.SmallDateTime	DbType.DateTime
SqlDbType.SmallInt	DbType.Int16
SqlDbType.SmallMoney	DbType.Currency
SqlDbType.Text	DbType.AnsiString
SqlDbType.Timestamp	DbType.Binary
SqlDbType.TinyInt	DbType.Byte
SqlDbType.VarBinary	DbType.Binary
SqlDbType.VarChar	DbType.AnsiString
SqlDbType.Variant	DbType.Object
SqlDbType.Xml	DbType.Xml
SqlDbType.Udt	DbType.Object
SqlDbType.Structured	DbType.Object
SqlDbType.Date	DbType.Date
SqlDbType.Time	DbType.Time
SqlDbType.DateTime2	DbType.DateTime2
SqlDbType.DateTimeOffset	DbType.DateTimeOffset