用户投稿
-HTTP请求(来源:Chua Hock-Chuan)
测试人员在HTTP请求中操纵URL的查询字符串是一个滥用案例,例如GET / customer / delete?country = all。甚至最终用户也可以通过添加或修改浏览器地址栏中的URL和查询参数来提交HTTP GET请求。在RESTful API流行之前,使用HTTP谓词GET实现CRUD(创建,检索,更新和删除)数据操作并不罕见,该行为容易受到滥用/滥用攻击。
误用/滥用案例(Misuse/Abuse Case)
滥用案例可以定义为:
一种使用实现者不期望的功能的方法,允许攻击者根据攻击者的动作(或输入)影响功能或使用功能的结果。
资料来源:OWASP
Synopsys定义了一个滥用案例,如下所示:
–滥用和滥用案例描述了用户如何滥用或利用软件功能控件的弱点来攻击应用程序。
–当对业务功能的直接攻击(可能带来收入或提供积极的用户体验)受到攻击时,这可能会导致切实的业务影响。
–滥用案例也可以成为提高安全性要求的有效方法,从而可以对这些关键业务用例提供适当的保护。
资料来源:OWASP
模糊测试(Fuzz Testing)
模糊测试用于通过提供随机生成的测试数据来测试接受结构输入的应用程序。我们没有看到测试中使用了任何随机数据。
压力测试(Stress Testing)
压力测试侧重于性能和可伸缩性;网络,CPU,内存的工作量逐渐增加,以一定程度的工作量和系统上限来观察系统性能。测试中没有关于性能和可伸缩性的任何提示。
综合交易(Synthetic Transaction)
从严格意义上讲,合成交易是一种主动的网站“监视”技术,通过在网络浏览器中部署行为脚本来模拟真实客户(或最终用户)通过网站的路径来完成。但是,合成交易对于高流量站点(例如电子商务)在发布之前进行测试至关重要。(monitis)
参考
.HTTP(超文本传输协议)基础
.代码审查
.模糊测试
.回归测试
.什么是综合事务监控(谁需要它?…)
.滥用案例备忘单
资料来源: Wentz Wu QOTD-20210209
微信扫一扫打赏
支付宝扫一扫打赏
