当前位置：首页 > news >正文

软件测试之Web安全测试详解

news 2025/12/16 8:08:53

前言

随着互联网时代的蓬勃发展，基于Web环境下的应用系统、应用软件也得到了越来越广泛的使用。

目前，很多企业的业务发展都依赖于互联网，比如，网上银行、网络购物、网络游戏等。但，由于很多恶意攻击者想通过截获他人信息去谋取利益，因此，会对Web服务器进行攻击。攻击的方式也非常多，常见的有SQL注入、跨站脚本攻击、跨站请求伪造、缓存区溢出等。

由此，我们不得不对网络环境的安全性加以提升。软件测试工程师通过分析黑客的攻击行为等方式，对网站进行Web安全测试。

同时，我也为大家准备了一份软件测试视频教程（含面试、接口、自动化、性能测试等），就在下方，需要的可以直接去观看，也可以直接点击文末小卡片免费领取资料文档

软件测试视频教程观看处：

B站封神的接口测试教程，30天练完70个项目实战（含自动化测试、性能测试），学完即就业，永久白嫖！

1、SQL注入

在Web安全测试中，SQL注入是最为常见的一种手段。主要是指攻击者通过巧妙的构建非法SQL查询命令，插入表单或请求字符串后提交，并根据返回的结果，来获得想要的数据。这就是SQL注入。

SQL注入的方法一般有猜测法和屏蔽法。猜测法主要是通过猜测数据库可能存在的表名和列名，根据组合的SQL语句获取数据表的信息。屏蔽法主要是利用SQL输入的不严谨进行逻辑验证，从而使得SQL验证结果始终为真，从而绕开验证的目的。

当然，这2种是SQL注入最基础的、最简单的方法。在测试过程中，我们需要注意命名规则，以及对关键词的屏蔽等。另外，我们也需要在工作中，不断总结经验，更加深入的学习猜想法和屏蔽法等。

2、跨站脚本攻击

跨站脚本攻击（简称XSS），是一种迫使Web站点回显可执行代码的攻击技术。

当Web站点回显后，攻击者会重新提供可执行代码。一般情况下，他们会往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入其中的Script代码会被执行，从而攻击终端用户。

XSS最为常见的攻击方法为反射型XSS和存储型XSS。

反射型XSS，又称非持久型跨站点脚本攻击，也是最常见的XSS攻击方式。这种方式一般需要用户自己去点击链接，才能触发攻击者注入的XSS代码。

而存储型XSS则不同。存储型XSS又称为持久型跨站点脚本攻击，也是最直接危害用户的XSS。当攻击者在服务器中存储了攻击代码后，用户只要打开对应页面，就会触发XSS代码自动执行。这种XSS比较危险，容易产生蠕虫，盗窃用户Cookie等危害。造成这种安全问题的原因，主要是开发者在编程过程中，对一些敏感符号未进行处理，

如“/、“.”、“’”、“‘”、“＜”、“＞”、“？”等。或对数据库字段、数据库类型以及长度的限制等未进行处理。

3、跨站请求伪造

跨站请求伪造（简称CSRF），是一种对网站的恶意利用。它通过伪装普通用户的请求，来利用受信任的网站。与XSS攻击相比，CSRF攻击往往因为不太流行而导致难以防范。所以，我们认为CSRF往往比XSS更具危险性。

简单判断是否存在CSRF漏洞的方法，就是通过抓取正常请求的数据包，然后通过去掉Referer字段，再重新提交。如果二次提交还有效，说明存在CSRF漏洞。

为了防止CSRF，常用的方法就是在AJAX异步请求地址中，添加Token并进行验证，从而降低CSRF出现的可能。

4、缓存区溢出

缓冲区溢出是一种非常普遍存在的漏洞，广泛存在于各种操作系统、应用软件中。

利用缓冲区溢出攻击，可以导致程序出现运行失败、系统关机、重新启动等行为，或执行攻击者的指令，比如非法提升权限等。

在缓冲区溢出中，最为危险的就是堆栈溢出，它可以利用堆栈溢出，在函数返回时，将程序的地址修改为攻击者想要的任意地址，达到攻击者的目的。其最典型的例子，就是1988年利用fingerd漏洞进行攻击的蠕虫。

当然，造成缓冲区溢出的原因有很多。主要原因有对输入、输出的数据没有限制大小、长度以及格式等，还有就是对用户的特殊操作没有做异常处理导致。

所以，在测试过程中，我们需要注意输入输出的大小长度以及格式规范限制，还有需要多模拟一些异常，关注异常的处理情况。

写在最后

对Web应用软件来说，安全性包含Web服务器、数据库、操作系统以及网络的安全等，只要其中任何一个部分出现安全漏洞，都会导致整个系统的安全性问题。Web安全测试是比较难解决的问题，这个取决于测试要达到什么程度。简单说软件不可能做到100%的测试，所以也不要期望可以达到100%的安全。

在实际测试过程中，测试人员主要是针对用户的权限以及数据库的安全性进行测试，还可以借助IBM的安全漏洞扫描工具APPScan来进行漏洞扫描。

PS：这里分享一套软件测试的自学教程合集。对于在测试行业发展的小伙伴们来说应该会很有帮助。除了基础入门的资源，博主也收集不少进阶自动化的资源，从理论到实战，知行合一才能真正的掌握。全套内容已经打包到网盘，内容总量接近500个G。

☑ 240集-零基础到精通全套视频课程
☑ [课件+源码]-完整配套的教程
☑ 18套-测试实战项目源码
☑ 37套-测试工具软件包
☑ 268道-真实面试题
☑ 200个模板-面试简历模板、测试方案模板、软件测试报告模板、测试分析模版、测试计划模板、性能测试报告、性能测试报告、性能测试脚本用例模板（信息完整）

这些资料，对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！凡事要趁早，特别是技术行业，一定要提升技术功底。

送给大家一句话，共勉：当我们能力不足的时候，首先要做的是内修！当我们能力足够强大的时候，就可以外寻了！

软件测试之Web安全测试详解

前言

1、SQL注入

2、跨站脚本攻击

3、跨站请求伪造

4、缓存区溢出

写在最后

相关文章：

软件测试之Web安全测试详解

MYSQL binlog

Web 基础概念

谈谈最近招人的感受！

【日常业务开发】Java调用第三方http接口的常用方式

【大数据开发技术】实验04-HDFS文件创建与写入

中国制造让苹果跪服，将再增加一家中国高科技供应商

港卡开户感想(2023-8)

机器学习第十一课--K-Means聚类

Java on Azure Tooling 8月更新｜以应用程序为中心的视图支持及 Azure 应用服务部署状态改进

论文笔记：ST2Vec: Spatio-Temporal Trajectory SimilarityLearning in Road Networks

upload-labs靶场未知后缀名解析漏洞

VisualStudio配置opencv

如何通过git指令加入管理者仓库并提交分支（Github Gitee）

LuatOS-SOC接口文档(air780E)-- fastlz - FastLZ压缩

MySQL表的增删改查（进阶）

Greenplum实用工具-gpfdist

axios和fetch的区别

HTML那些重要的知识点

《优化接口设计的思路》系列：第四篇—接口的权限控制

调用支付宝接口响应40004 SYSTEM_ERROR问题排查

Qt Widget类解析与代码注释

学习STC51单片机31（芯片为STC89C52RCRC）OLED显示屏1

【单片机期末】单片机系统设计

CMake 从 GitHub 下载第三方库并使用

OpenPrompt 和直接对提示词的嵌入向量进行训练有什么区别

【JavaWeb】Docker项目部署

GC1808高性能24位立体声音频ADC芯片解析

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据

解析奥地利 XARION激光超声检测系统：无膜光学麦克风 + 无耦合剂的技术协同优势及多元应用