摘要:
三、攻击访问控制 从逻辑上讲,应用程序的核心安全机制——访问控制建立在验证和会话管理之上,如果应用程序的访问控制存在缺陷,攻击者往往能够很快的攻占这个应用程序。访问控制漏洞的概念其实很简单即应用程序允许攻击者执行或者访问某种攻击者不具备相应权限的功能或资源。常见的访问控制可以分为垂直访问控制、水平访 阅读全文
摘要:
二、攻击会话管理 HTTP协议本身是“无状态”,“无连接”的,也就是说HTTP协议本身并不会记住客户端访问的上下文,也无法保存客户端的各种状态,这其中就包括登录状态。如果HTTP不能保存用户的登录状态那就意味着用户在每次访问需要身份验证的网站时都必须填写用户名及密码,这里的“每次访问”是指每个单次的 阅读全文
摘要:
一、攻击验证机制 身份验证是核心防御机制中最薄弱的环节,身份验证机制也是攻击者的主要攻击目标之一。 常见的验证技术 1、基于HTML表单的验证(最常见) 2、多元机制,如组合密码和物理令牌 多用于安全性要求较高的应用程序比如说提供进行巨额交易服务的私人银行 3、客户端SSL证书或智能卡 这种验证技术 阅读全文
摘要:
OWASP Top Ten OWASP Top 10是一个面向开发人员和web应用程序安全性的标准意识 文档。它代表了关于web应用程序最关键的安全风险的广泛共识。 十大Web应用程序安全风险(2017版) 注入:注入缺陷,如SQL、NoSQL、OS和LDAP注入,当将不受信任的数据作为命令或查询的 阅读全文
摘要:
分析器顾名思义就是对测试结果数据进行分析的组件,它是LoadRunner三大组件之一,其重要性不言而喻。在Controller组件执行场景的过程中,LoadRunner会将数据收集起来并保存到数据库中。当场景执行完成后,可以进入Analysis组件对这些数据进行分析。 分析器中保存着大量用来分析性能 阅读全文
摘要:
Run-TimeSettings设置 Run-TimeSettings设置主要是用于设置在脚本运行过程中脚本运行的策略。在菜单Vuser中选择Run-TimeSettings或按快捷键F4,如图所示。需要注意的设置项有:RunLogic选项卡、Pacing选项卡、ThinkTime选项卡和Misce 阅读全文
摘要:
引言 Vuser发生器(VisualUserGenerator,简称为VuGen)主要通过捕获客户端向服务器发送的HTTP请求,将这些请求录制成脚本,在回放时将捕获的HTTP请求再次发送,以达到模拟客户的行为的目的,所以Vuser主要是用来捕获最终用户业务流程和创建自动化测试脚本,即生成测试脚本。V 阅读全文
摘要:
LoadRunner内部结构 LoadRunner主要通过控制内部程序的调度来控制整个性能测试过程,LoadRunner内部结构图如下图所示。该图详细地描述了LoadRunner执行过程中内部程序是如何调度的及内部各程序之间的关系。 从LoadRunner内部结构的层次来分析LoadRunner性能 阅读全文
摘要:
引言 在使用LoadRunner进行性能测试时,需要先了解LoadRunner的工作原理、工作过程和内部结构,这样可以对其有一个整体的了解和概要的认识。 主要包括以下内容: LoadRunner简介 LoadRunner工作原理 LoadRunner工作过程 LoadRunner内部结构 LoadR 阅读全文
摘要:
性能测试划分 性能测试划分有很多种,测试方法也有很多种,更确切的说是由于测试方法的不同决定了测试划分的情况,但在测试过程中性能测试的划分没有绝对的界限,常用的有压力测试、负载测试和并发用户测试等。 性能测试的方法主要包括以下几种: 1.负载测试(LoadTesting) 2.压力测试(StressT 阅读全文