其他分享
首页 > 其他分享> > 实际工作中测试出来的安全问题

实际工作中测试出来的安全问题

作者:互联网

  1. 存储型XSS漏洞

    项目名称:xxx电子合同

    测试工具: fiddler

    测试步骤:填写后,提交后抓包,修改其中数据为<script>alert(1)</script>,保存到数据库,再次访问时,直接出现弹窗

  2. 缺少后台数据较验漏洞

    项目名称:xx盾

    漏洞工具:手工***

    测试步骤:用户列表中存在用户状态,状态有冻结,解冻,注销,注销后的用户不能再使用,且其他状态设置按钮变为不可点击。通过修改前台html代码,将解冻变成可点击,点击解冻,用户状态又恢复正常可用。

    原因:缺少在后台对用户状态进行较验

标签:状态,漏洞,测试步骤,用户,解冻,安全,点击,测试,实际
来源: https://blog.51cto.com/asura1992/2436840