摘要:
本文是基于 Chrome 浏览器的扩展插件来进行的安装,并非单独应用程序。 1. 官网安装(容易打开出错) 打开官网,https://www.getpostman.com 点击那个灰灰色的「Chrome App (Free)」按钮。正常情况会跳转到Chrome网上应用店界面。然而,很多时候会出现如下 阅读全文
摘要:
前言 大家对支付漏洞的理解通常都是篡改价格,已有的对支付漏洞的总结也是对现有的一些案例的经验式归类,没有上升到对在线支付流程深入分析的一个层面。这里尝试从分析在线支付流程,在线支付厂商的接入方式开始,深入业务分析整个在线交易流程中容易出现的安全问题。 支付宝/在线支付流程 支付宝即时到账接口开发流程 阅读全文
摘要:
现在有不少测试朋友做的项目中,可能也会涉及到支付相关的功能。比如:做商城的,做游戏的以及其他在线交易的网站、APP等。如果支付出了问题,或者用户拿少的钱通过篡改请求数据购买大金额的商品,如果是实物的话,发货前还有可能被发现。如果是虚拟商品话费、游戏币等就有可能造成损失。 所以,不管是实物也好,虚拟商 阅读全文
摘要:
最为经典的单引号判断法: 在参数后面加上单引号,比如: http://xxx/abc.php?id=1' 如果页面返回错误,则存在 Sql 注入。 原因是无论字符型还是整型都会因为单引号个数不匹配而报错。 通常 Sql 注入漏洞分为 2 种类型: 数字型 字符型 数字型判断: 当输入的参 x 为整型 阅读全文
摘要:
一、数据输入 (把账号和密码分类,有效的和无效的) 1、有效的:长度在XX之间的。类型为XX的 2、无效的: 长度大于规定的、长度小于规定的、为负数、小数、英文字母、 字符、特殊字符 、中文、 转义字符 、空(包括:空的用户名和空的密码;正确的用户名和空的密码; 空的用户名和正确的密码;用户名的前 阅读全文
摘要:
1、安装JDK开发环境 下载网站: http://www.oracle.com/technetwork/java/javase/downloads/index.html 进入后选择Accept License Agreement(接受许可),并下载适合自己系统的版本。 下载JDK后根据提示进行安装( 阅读全文