1. 如何跳過頁面上的表單驗證
修改一下JS,另外你說的跳過表單驗證是跳過一項還是所有?問題寫清楚。
2. 為什麼做介面測試介面測試能發現哪些問題
舉個例子吧:
測試用戶注冊功能,規定用戶名為6~18個字元,包含字母(區分大小寫)、數字、下劃線。首先功能測試時肯定會對用戶名規則進行測試時,比如輸入20個字元、輸入特殊字元等,但這些可能只是在前端做了校驗,後端可能沒做校驗,如果有人通過抓包繞過前端校驗直接發送到後端怎麼辦呢?試想一下,如果用戶名和密碼未在後端做校驗,而有人又繞過前端校驗的話,那用戶名和密碼不就可以隨便輸了嗎?如果是登錄可能會通過SQL注入等手段來隨意登錄,甚至可以獲取管理員許可權,那這樣不是很恐怖?
所以,介面測試的必要性就體現出來了:
①、可以發現很多在頁面上操作發現不了的bug
②、檢查系統的異常處理能力
③、檢查系統的安全性、穩定性
④、前端隨便變,介面測好了,後端不用變
3. 繞過前端,直接請求創建介面,也可以發帖,需要做前後端雙重驗證
有些用戶直接沒有登入,用postman等其它發送請求,雖然前端那個已經要身份注冊和登入,但是
還是可以通過介面明銷測試工神碧具發送請求。
解決辦法
後端:
後端可以給每個用戶綁定token,用戶登入的時候,會有一個token,這樣就不會繞過前端,直接繞過前端,直接請求創建介面,也可以發帖,需要做前後端雙重驗證
根據jwt(jsonwebtoken)
JWT
JSON Web Token(JWT)是一個非常輕巧的規范。這個規范允許我們使用JWT在用戶和伺服器之間傳遞安全可靠的信息。
一個JWT實際上就是一個字游槐舉符串,它由三部分組成,頭部、載荷與簽名。
4. HTML5 表單多條件驗證問題
1.輸入型控制項
Input type
用途
說明
email
電子郵件地址文本框
url
網頁URL文本框
number
數值的輸入域
屬性 值 描述
max number 規定允許的最大值
min number 規定允許的最小值
step number 規定合法的數字間隔(如果 step="3",則合法的數是 -3,0,3,6 等)
value number 規定默認值
range
特定值的范圍的數值,以滑動條顯示
屬性 值 描述
max number 規定允許的最大值
min number 規定允許的最小值
step number 規定合法的數字間隔(如果 step="3",則合法的數是 -3,0,3,6 等)
value number 規定默認值
Date pickers
日期,時間選擇器
僅Opera9+支持,包含date, month, week, time, datetime, datetime-local
search
用於搜索引擎,比如在站點頂部顯示的搜索框
與普通文本框用法一樣,只不過這樣更語文化
color
顏色選擇器
僅Opera支持
將原本type為text的input控制項聲明為以上特殊類型,是為了給用戶呈現不同的輸入界面(移動平台上支持這些不同的輸入界面,這里就不細說),而且表單提交時會對其值做進一步的驗證。下面展示這些新表單元素,請用支持這些表單元素的瀏覽器查看,IE對其支持最差。
E-mail:
date:
range: number: color:
2. 表單新特性和函數
2.1 placeholder
當用戶還沒有輸入值時,輸入型控制項可能通過placeholder向用戶顯示描述性說明文字或者提示信息,這在目前網站中很常見,一些JS框架都會提供類似功能,簡單的說下在舊版本中常用的解決方案,為輸入控制項創建一個label,然後通過CSS控制些label的位置使之覆蓋在輸入控制項上面,當label獲得焦點時,瀏覽器會把焦點指向輸入控制項。不過有了placeholder,新的瀏覽器就內置了這一功能,其特性值會以淺灰色樣式顯示在輸入框中,當輸入框獲得焦點並有值後,該提示信息自動消失。
如:
<p><label for="runnername">Runner:</label>
<input id="runnername"name="runnername" type="text" placeholder="First and last name" />
</p>
Runner:
2.2 autocomplete
其實在IE6中,autocomplete就已經實現,不過現在這一特性終於標准化了,瀏覽器通過autocomplete特性能夠知曉是否應該保存輸入值以備將來使用,autocomplete應該用一保護用戶敏感數據,避免本地瀏覽器對它們進行不安全的存儲。
類型
作用
on
該欄位無需保護,值可以被保存和恢復
off
該欄位需要保護,值不可以保存
unspecified
包含<form>的默認設置,如果沒有被包含在表單中或沒有指定值,則行為表現為on
如:
<form action="" method="get" autocomplete="on">
Name:<input type="text" name="name" /><br />
E-mail: <input type="email" name="email" autocomplete="off" /><br />
<input type="submit" />
</form>
當用戶提交過一次表單後,再次訪問,name的輸入框會提示你曾輸入的值,而email則不會提示。
2.3 autofocus
頁面載入時,我們通過autofocus指定某個表單元素獲得焦點,但每個頁面只允許出現一個autofocus,如果設置多個則相當於未指定些行為。目前Opera10,Chromet和Safari瀏覽器支持。如果用戶有希望焦點轉移的情況下,使用使用autofocus會惹惱用戶。
2.5 list特性和datalist
通過使用list,開發人員能夠為某個輸入型控制項構造一個選值列表,其使用方法:
Webpage: <input type="url" list="url_list" name="link" />
<datalist id="url_list">
<option label="W3School" value="http://www.w3school.com.cn" />
<option label="Google" value="http://www.google.com" />
<option label="Microsoft" value="http://www.microsoft.com" />
</datalist>
Webpage:
請在Opera9+或Firefox10+瀏覽器中查看。
2.6 required
required 屬性規定必須在提交之前填寫輸入域(不能為空)。它是表單驗證最簡單的一種方式方法,使用方法:
Name: <input type="text" name="usr_name" required="required" />
2.7 pattern
pattern 屬性規定用於驗證 input 域的模式(pattern),模式(pattern) 是正則表達式。那些type為email或url的輸入控制項內置相關正則表達式,如果value不符合其正則表達式,那表單將通不過驗證,無法提交。使用方法:
Country code: <input type="text" name="country_code"
pattern="[A-z]{3}" title="Three letter country code" />
2.8 novalidate
novalidate 屬性規定在提交表單時不應該驗證 form 或 input 域。
如:
<form action="demo_form.asp" method="get" novalidate="true">
E-mail: <input type="email" name="user_email" />
<input type="submit" />
</form>
3. 表單驗證
表單驗證是一套系統,它為終端用戶檢測無效的數據並標記這些錯誤,是一種用戶體驗的優化,讓web應用更快的拋出錯誤,但它仍不能取代伺服器端的驗證,重要數據還要要依賴於伺服器端的驗證,因為前端驗證是可以繞過的。
目前任何錶單元素都有八種可能的驗證約束條件:
名稱
用途
用法
valueMissing
確保控制項中的值已填寫
將required屬性設為true,
<input type="text"required="required"/>
typeMismatch
確保控制項值與預期類型相匹配
<input type="email"/>
patternMismatch
根據pattern的正則表達式判斷輸入是否為合法格式
<input type="text" pattern="[0-9]{12}"/>
toolong
避免輸入過多字元
設置maxLength,<textarea id="notes" name="notes" maxLength="100"></textarea>
rangeUnderflow
限制數值控制項的最小值
設置min,<input type="number" min="0" value="20"/>
rangeOverflow
限制數值控制項的最大值
設置max,<input type="number" max="100" value="20"/>
stepMismatch
確保輸入值符合min,max,step的設置
設置max min step,<input type="number" min="0" max="100" step="10" value="20"/>
customError
處理應用代碼明確設置能計算產生錯誤
例如驗證兩次輸入的密碼是否一致,等會DEMO細說
下面展現瀏覽器自帶的驗證功能請在Chrome、Opera或Firefox中查看:
源代碼:
<form name="register1" id="register1">
<p><label for="runnername">RunnerName:</label>
<input id="runnername"name="runnername" type="text" placeholder="First and last name" required="required" autofocus="autofocus"/>
</p>
<p><label for="phone">Tel #:</label>
<input id="phone" name="phone" type="text" pattern="\d{3}-\d{4}-\d{4}"
placeholder="xxx-xxxx-xxxx"/></p>
<p><label for="emailaddress">E-mail:</label>
<input id="emailaddress" name="emailaddress" type="email"
placeholder="For confirmation only"/></p>
<p><label for="dob">DOB:</label>
<input id="dob" name="dob" type="date"
placeholder="MM/DD/YYYY"/></p>
<p>Count:<input type="number" id="count" name="count" min="0" max="100" step="10"/></p>
<p><label for="style">Shirt style:</label>
<input id="style" name="style" type="text" list="stylelist" title="Years of participation"
autocomplete="off"/></p>
<datalist id="stylelist">
<option value="White" label="1st Year"/>
<option value="Gray" label="2nd - 4th Year"/>
<option value="Navy" label="Veteran (5+ Years)"/>
</datalist>
<fieldset>
<legend>Expectations:</legend>
<p>
<label for="confidence">Confidence:</label>
<input id="confidence" name="level" type="range"
onchange="setConfidence(this.value)"
min="0" max="100" step="5" value="0"/>
<span id="confidenceDisplay">0%</span></p>
<p><label for="notes">Notes:</label>
<textarea id="notes" name="notes" maxLength="100"></textarea></p>
</fieldset>
<p><input type="submit" name="register" value="Submit" onclick=" checkForm()"/></p>
</form>
5. 暴力破解與驗證碼安全
暴力破解 :暴力破解簡單來說就是將密碼進行逐個測試,直到找出正確的密碼為止
暴力破解:是一攻擊具手段,在web攻擊中,一般會使用這種手段對應用系統的認證信息進行獲取。 其過程就是使用大量的認證信息在認證介面進行嘗試登錄,直到得到正確的結果。為了提高效率,暴力破解一般會使用帶有字典的工具來進行自動化操作
暴力破解漏洞:如果一個web應用系統沒有採用或者採用了比較弱的認證安全策略,導致其被暴力破解的「可能性」變的比較高
暴力破解前准備 :
1. web系統的認證安全策略:
是否要求用戶設置復雜的密碼;
是否每次認證都使用安全的驗證碼
是否對嘗試登錄的行為進行判斷和限制(如:連續5次錯誤登錄,進行賬號鎖定或IP地址鎖定等)
是否采念喊洞用了雙因素認證
認證過程是否帶有token信息
2.工具准備:准備合適的暴力破解工具以及一個有郊的字典
三個要點:
1. 對目標網站進行注冊,搞清楚帳號密碼的一些限制,比如目標站點要求密碼必須是8位以上,字母數字組合,則可以按照此優化字典,比如去掉不符合要求的密碼
2. web管理面密碼使用admin/administrator/root帳號的機率較高,可以使用這三個帳號+隨便一個密碼字典進行暴力破解
3. 破解過程中一定要注意觀察提示,如有「用戶名或密碼錯誤」「密碼錯誤」「用戶名不存在」等相關提示,可進一步利用
暴力破解分類 :
B/S模式:瀏覽器伺服器模式的認證過程是http協議實現的,因此可以用burpsuite抓包工具來破解
1. 不帶驗證碼的認證的破解:可直接使用burpsuite加密碼字典破解
2. 帶驗證碼的認證的破解:如果是前端驗證可使用burpsuite抓包繞過驗證碼來暴力破仔枯解,如果是後端驗證,可使用爆破工具(如pkav)外接驗證碼識別器來暴力破解。(如果後台驗證過程中驗證碼沒有立即銷毀,此驗證碼可使用24分鍾)
3. 帶token信息的滲薯認證的破解:(Token是服務端生成的一串字元串,以作客戶端進行請求的一個令牌,客戶端帶上token代表具有執行某些操作的權利)token信息每次都不一樣,需要burpsuite將伺服器返回的token取出用於下一次請求。
C/S模式:客戶端伺服器模式的認證過程有多種協議實現的,因此需要用專用的集成化破解工具來破解,例如 Hydra、Bruter、X-scan
工具:
Bruter:密碼暴力破解工具
Hydra:hydra是著名黑客組織thc的一款開源的暴力密碼破解工具,支持多種協議,可以在線破解多種應用密碼。
暴力破解的防範 :增加web系統的認證安全策略
要求用戶設置復雜的密碼
每次認證都使用安全的驗證碼
對嘗試登錄的行為進行判斷和限制
採用雙因素認證
認證過程帶token信息
驗證碼安全 :
是一種區分用戶是計算機還是人的全自動程序,可以防止:密碼暴力破解、刷票、論壇灌水。可有效防護黑客對特定用戶的密碼暴力破解。
驗證碼分類 :
Gif動畫驗證碼
手機簡訊驗證碼
手機語音驗證碼
視頻驗證碼
驗證碼常見安全問題 :
客戶端問題
服務端問題
基於Token驗證
驗證碼太簡單,容易被機器識別
暴破驗證碼
驗證碼安全防護 :
1) 強制要求輸入驗證碼,否則,必須實施IP策略。 注意不要被X-Forwaded-For繞過了!
2) 驗證碼只能用一次,用完立即過期!不能再次使用
3) 驗證碼不要太弱。扭曲、變形、干擾線條、干擾背景色、變換字體等。
4) 大網站最好統一安全驗證碼,各處使用同一個驗證碼介面
思路點:暴力破解和驗證碼安全破解時也可以熟悉認證業務過程,並試圖在業務過程中尋找業務邏輯漏洞。
弱口令:屬於暴力破解漏洞的一種,是web認證界面使用了常用的或者較簡單的用戶名密碼,使暴力破解變得簡單。
6. 如何跳過前端JavaScript的驗證
要想繞過js驗證,需要利用第三方插件:
1、安裝好FireBug插件,然後,用快捷鍵F12,就會彈出FireBug窗口
3、然後按著上面步驟操作,把紅框里的代碼:
javascript:WebForm_DoPostBackWithOptions(new WebForm_PostBackOptions(「Button1″, 「」, true, 「1」, 「」, false, false))
刪除掉,然後點擊提交按鈕。這樣就可以提交了。