分类目录归档:杂记

web 安全测试要点分享


摘要:
下文讲述web安全测试的相关知识,如下所示:



一、系统用户权限测试

此模块主要测试:
1.1 无模块的访问权限禁止访问模块
1.2 同时两个用户登录系统,是否出现权限切换错乱
1.3 用户直接通过url是否可以访问无权限模块
1.4 页面访问流程,是否由系统指定的路径,禁止跳跃路径访问


二、url交互方式

url的交互方式是否按系统指定的方式访问,使用get post 禁止以外的其它方式访问。
后台接收的url参数是否都进行了验证
重要及敏感信息是否进行了隐藏或加密处理
例:
金额信息是否可以通过在url中修改,然后提交。

是否处理了XSS脚本攻击


例:
我们在浏览论坛时候,回帖的时,我们输入脚本
<script>alert(“hello”);</script>”

提交后台保存后,其它电脑浏览此页面时,此脚本如果被执行,则代表此网站我们可以对其进行XSS脚本攻击


三、sql注入攻击处理



四、session测试

用户是否可以虚拟session的方式进入系统
多标签页面,之间的用户权限是否会混乱
session超时是否进行了相关处理

dos 命令无限循环的写法


摘要:
下文讲述在windows中,实现无限循环的方法分享,如下所示:



实现思路:
采用goto 标签,无限制的调用命令行,使命令无限的运行下去


dos 无限循环命令

:label
goto label

举例应用:

@echo off
cls

:label
echo '无限循环中...'
goto label

c# 中的SqlDbType数据类型与DbType之间对应关系分享


摘要:
下文讲述c#中SqlDbType同DbType之间的对应关系,如下所示:



1.c# SqlDbType同DbType之间对应关系

c#类型

sqlserver类型
SqlDbType.BigInt

DbType.Int64
SqlDbType.Binary

DbType.Binary
SqlDbType.Bit

DbType.Boolean
SqlDbType.Char

DbType.AnsiStringFixedLength
SqlDbType.DateTime

DbType.DateTime
SqlDbType.Decimal

DbType.Decimal
SqlDbType.Float

DbType.Double
SqlDbType.Image

DbType.Binary
SqlDbType.Int

DbType.Int32
SqlDbType.Money

DbType.Currency
SqlDbType.NChar

DbType.StringFixedLength
SqlDbType.NText

DbType.String
SqlDbType.NVarChar

DbType.String
SqlDbType.Real

DbType.Single
SqlDbType.UniqueIdentifier

DbType.Guid
SqlDbType.SmallDateTime

DbType.DateTime
SqlDbType.SmallInt

DbType.Int16
SqlDbType.SmallMoney

DbType.Currency
SqlDbType.Text

DbType.AnsiString
SqlDbType.Timestamp

DbType.Binary
SqlDbType.TinyInt

DbType.Byte
SqlDbType.VarBinary

DbType.Binary
SqlDbType.VarChar

DbType.AnsiString
SqlDbType.Variant

DbType.Object
SqlDbType.Xml

DbType.Xml
SqlDbType.Udt

DbType.Object
SqlDbType.Structured

DbType.Object
SqlDbType.Date

DbType.Date
SqlDbType.Time

DbType.Time
SqlDbType.DateTime2

DbType.DateTime2
SqlDbType.DateTimeOffset

DbType.DateTimeOffset