摘要:
1.负面测试的目的 负面测试在BS7925-1中的英国标准定义是采用Beizer的定义,其定义负面测试为“旨在说明软件不能工作的测试”(原文:Testing aimed at showing software does not work)。它可以带出一系列补充性的和竞争性的目的。 •发现导致重大失效、崩溃、破坏和安全漏洞的故障 •观察和度量系统对外界问题的响应 •揭露软件的弱点和开发的潜力 ... 阅读全文
摘要:
【摘要】利用实际案例说明如何使用Mercury LoadRunner提取包含在 HTML 页内的动态信息并创建参数。 【关键词】性能测试,压力测试,Mercury LoadRunner 应用范围 在使用Loadrunner进行性能测试时,经常遇到一种情况,需要通过web页面修改某事务的状态。于是需要首先读出当前的事务的状态,再进行修改,此时便可以使用到web_reg_save_par... 阅读全文
摘要:
【摘要】利用实际案例说明如何使用Mercury LoadRunner提取包含在 HTML 页内的动态信息并创建参数。 【关键词】性能测试,压力测试,Mercury LoadRunner 应用范围 在使用Loadrunner进行性能测试时,经常遇到一种情况,需要通过web页面修改某事务的状态。于是需要首先读出当前的事务的状态,再进行修改,此时便可以使用到web_reg_save_par... 阅读全文
摘要:
【摘要】利用实际案例说明如何使用Mercury LoadRunner提取包含在 HTML 页内的动态信息并创建参数。 【关键词】性能测试,压力测试,Mercury LoadRunner 应用范围 在使用Loadrunner进行性能测试时,经常遇到一种情况,需要通过web页面修改某事务的状态。于是需要首先读出当前的事务的状态,再进行修改,此时便可以使用到web_reg_save_par... 阅读全文
摘要:
摘 要: JAVA编程批量制造数据,UNIX SHELL脚本批量制造数据,ULTRAEDIT结合EXCEL批量制造数据 关键词: 批量制作数据,ULTRAEDIT,EXCEL,JAVA,UNIX SHELL 一、 前言 在测试工作中经常遇到批量制造数据的情况,有时测试数据只需要一两行,而有时会需要数百行,数千行,甚至数万行,数百万行,制造数据的效率直接关系到测试... 阅读全文
摘要:
软件测试是软件开发生命周期中的一项完整、昂贵且耗时的活动。而通常情况下,在软件开发中实现对公共工件的重用可以显著地提升我们的生产率。此外,由于测试会涉及到被测试系统运行时的各种配置和环境条件,因此,自动化地执行相关的测试活动,可以帮助我们节约测试过程中的另一种潜在资源。本文主要讨论测试组织对重用和自动化的实现,同时,我们也会描述一下目前已存在的一些解决方案的缺点,并针对重用和自动化的问题,向... 阅读全文
摘要:
软件测试生命周期包括6个阶段(大体上):1)计划 2)分析,3)设计,4)构建,5)测试周期,6)最后测试和实施,和7)实施后。 1. 计划(产品定义阶段) 高层次的测试计划(包含多重测试周期) 质量保证计划(质量目标,测试标准等 ) 确定计划评审的时间 报告问题过程 确定问题的分类 确定验收标准-给质量保证员和用户。 建立应用程序测试数据库 确定衡量标准... 阅读全文
摘要:
摘要:在进行全球化测试时,因为资源和时间的限制,测试小组不可能把每一种功能在每种语言下都测试一遍。事实上,这么做只是功能测试在不同语言下的简单重复。比较合理的方法是根据测试的功能进行分类,对每一种功能选择最具有代表性的语言来进行测试。本文将介绍在全球化测试中测试排序时,需要覆盖的语言,并解释这些语言的特殊排序规则并给出实例进行说明。 关键词:全球化测试,排序,覆盖 1. 概述 ... 阅读全文
摘要:
如何灵活地运用SQL Injection做数据库渗透的一种思路 如今,很多关于mssql数据库的渗透技巧已不能有效地获取有用的数据值。比如在一个怀疑是注入点的地方 www.xxxxx.com/blog.asp?id=4 当加入" ’ "符号进行注入测试时, www.xxxxx.com/blog.asp?id=4’ 出错信息是, [Microsoft][ODBC SQL Server ... 阅读全文
摘要:
如何灵活地运用SQL Injection做数据库渗透的一种思路 如今,很多关于mssql数据库的渗透技巧已不能有效地获取有用的数据值。比如在一个怀疑是注入点的地方 www.xxxxx.com/blog.asp?id=4 当加入" ’ "符号进行注入测试时, www.xxxxx.com/blog.asp?id=4’ 出错信息是, [Microsoft][ODBC SQL Server ... 阅读全文
摘要:
如何灵活地运用SQL Injection做数据库渗透的一种思路 如今,很多关于mssql数据库的渗透技巧已不能有效地获取有用的数据值。比如在一个怀疑是注入点的地方 www.xxxxx.com/blog.asp?id=4 当加入" ’ "符号进行注入测试时, www.xxxxx.com/blog.asp?id=4’ 出错信息是, [Microsoft][ODBC SQL Server ... 阅读全文
摘要:
1.0绪论 当一台机器只开放了80端口(这里指的是提供HTTP服务)时,可能你的大多数漏洞扫描器都不能给到你很多有价值的信息(漏洞信息),倘若这台机器的管理员是经常为他的服务器打PATCH的话,我们只好把攻击的矛头指向WEB服务攻击了。SQL注入攻击是WEB攻击类型中的一种,这种攻击没有什么特殊的要求,只需要对方提供正常的HTTP服务,且不需要理会管理员是否是个“PATCH狂”。这类攻击主... 阅读全文
摘要:
3.1为什么使用的是'or1=1--呢?' f. }+ o1 `* I+ ^ / q3 E5 l9 B! k' C5 R 让我们来看看其他例子中使用'or1=1--的重要性吧。有别于正常的登陆方式,使用这样的登陆方式可能得到正常登陆中不能得到的某些特殊信息。用一个链接中得到的ASP页来打比方: # {* ~* y+ V/ l( K4 p 5 D- y$ _; R( D c3 p http... 阅读全文
摘要:
现在的Sql注入攻击已经变得越来越普及了,很多的不太懂Sql注入原理的人都懂得用工具去扫描和利用漏洞了,但是在实际情况中遇到的Sql注入却并不总是那么简单的事情,很多环境的原因导致直接利用工具的失败!上几期Linx遇到了一个,他用中间代理修改数据包的方法饶过了限制,这次我也遇到了一个比较特殊的情况。 哈尔滨工业大学是比较有名的一所大学,以前我看过他的网站,安全性还是不错的,管理员也利用... 阅读全文
摘要:
随着网络经济的复舒,开始越来越多的网站涌现出来,随着脚本漏洞的挖掘,黑客也越来越猖狂,并且越来越低龄化和傻瓜化。“你只要会用一个工具就可以黑站”,这就是脚本漏洞利的特点。这些漏洞的主要成因是编程程序员的素质,往往在编写asp或php等程序时候对字符的过滤不严密,对注入漏洞不了解,或者某个参数忘记检查导致的。 由于编写网页程序这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序... 阅读全文
摘要:
随着网络经济的复舒,开始越来越多的网站涌现出来,随着脚本漏洞的挖掘,黑客也越来越猖狂,并且越来越低龄化和傻瓜化。“你只要会用一个工具就可以黑站”,这就是脚本漏洞利的特点。这些漏洞的主要成因是编程程序员的素质,往往在编写asp或php等程序时候对字符的过滤不严密,对注入漏洞不了解,或者某个参数忘记检查导致的。 由于编写网页程序这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序... 阅读全文
摘要:
想必大家都知道MSSQL中SA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。 1.存在SQL注入,并且数据库类型是MSSQL。 2.连接数据库的权限必须是SA。 3.后台必须有文件上传的程序。 好了,我们找到一个网址hxxp://www.6x36x.co... 阅读全文
摘要:
SQL语句先前写的时候,很容易把一些特殊的用法忘记,我特此整理了一下SQL语句操作。 一、基础 1、说明:创建数据库 Create DATABASE database-name 2、说明:删除数据库 drop database dbname 3、说明:备份sql server --- 创建 备份数据的 device USE master EXEC sp_addumpdevice 'disk', ... 阅读全文
摘要:
简述: 黑客攻破SQL服务器系统的十种方法 无论是使用手工试探还是使用安全测试工具,恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的... 阅读全文
摘要:
许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获... 阅读全文