安全性測試都有什么？簡單的就包括跳過權限驗證啊，修改提交信息啊，復雜的呢，就有sql盲注、跨站點腳本等等。這些咱們暫時不一一細表，只說說我們為什么要進行安全性測試。、

　　其實網上關于安全性測試的資料并不是非常多，即使有人關注已只是很淺顯的談到部門安全性因素。當然，據我了解部分大公司都有自己的安全性測試團隊，這部分工作并不由測試人員進行。

　　胡扯了兩句，今天我們來聊聊為什么進行安全性測試，或者說，安全性到底會引起哪些問題、后果。

　　第一，提到安全。我們一個產品一個網站最需要加強安全防范的就是數據庫。那么如果缺少了安全性測試，在高手的sql盲注下，你的數據庫就會逐步展現在黑客的面前，無論是數據庫類型、表結構、字段名或是詳細的用戶信息，都有無數種手段可以讓人“一覽無余”。

　　第二，就是權限。網站一般都規定了什么樣的用戶可以做什么事。比如版主可以修改所有人的帖子，而你普通用戶只能編輯自己的帖子，同樣游客只能看大家的帖子。這就是簡單的權限。如果少了安全性保證，那么就容易有人跳出權限做他不該做的事情。

　　簡單舉個小例子，一個登錄模塊，讓你輸入用戶名密碼。我們會老老實實的輸入我們的用戶名密碼，比如“風落幾番”-“password”。如果我們刻意的去繞過登錄認證呢？

　　猜想一下這個sql，單說用戶名，開發人員很可能會這樣去數據庫里對比：

　　Select count(id) from sys_user where username=‘XXX’

　　當然可能更復雜，咱們就用這個說。如果我們在輸入框里輸入一段特殊的字符會如何？

　　’or‘1=1

　　這是段神奇的字符，因為這樣這個sql就變成：

　　Select count(id) from sys_user where username=‘’or‘1=1’

　　好吧，我們就跳過了用戶名的驗證。。。

　　說的好基礎和無聊的感覺，其實這就是安全性的一部分。

   接著說第三，就是修改提交數據信息。曾經我們公司做過一個關于在線支付的商城，在安全性測試過程中，我發現通過抓包抓到的提交價格，經過修改再發包可以通過。簡單來說就是本來100塊錢買的東西，我抓包修改為1塊就能成功購買。這就成為了一個巨大的隱患。

　　再說第四，類似跨站腳本的安全隱患。這方面網上資料很多，具體過程呢就像這樣：

　　1.HTML注入。所有HTML注入范例只是注入一個JavaScript彈出式的警告框：alert(1)。

　　2.做壞事。如果您覺得警告框還不夠刺激，當受害者點擊了一個被注入了HTML代碼的頁面鏈接時攻擊者能作的各種的惡意事情。

　　3.誘捕受害者，可能會redirect到另一個釣魚網站之類的，使其蒙受損失。

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區、安徽省、青海省、寧夏回族自治區、內蒙古自治區、新疆維吾爾族自治區

WX:一三三+++++四二捌伍++++++二伍一捌

主要業務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統軟件測試、數字社區應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計）、廣東省安全技術防范系統設計、施工、維修資格備案證業績檢測（安防工程檢測）、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、發明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518