测试技术工具，方向，策略汇总2018

1. 网速测试

    Page Speed Online

2. 网页报告详细查询

Pingdom Tools-->提供协议问题

Free Website Performance Test (BrowserMob)--提供网页加载测试和监测服务

Web Page Analyzer--附加性能建议

3.  工具中最好的工具

    Load Impact----它可以进行压力测试&＃xff1a;用虚拟器模拟用户&＃xff0c;观测随着用户增加&＃xff0c;网页性能的变化。可以测试出你的网页的耐用和高效。

OctaGate SiteTimer--细化到元素级

3. 安全漏洞测试

     安全测试的目的&＃xff1a;写安全的代码

     Web安全测试&＃xff1a;AppScan

     原理&＃xff1a;爬行Web结构&＃xff0c;利用Http请求&＃xff0c;分析Response是否安全

Websecurify&＃xff1a;自动检测网页漏洞

Scrawlr&＃xff1a;Sql注入测试

Netsparker &＃xff1a;检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。

Exploit-Me&＃xff1a;这个是火狐的插件&＃xff0c;由XSS-Me&＃xff0c;SQL Inject Me 和 Access-Me 这3个构成&＃xff0c;当浏览网页时就会开始检测&＃xff0c;可检测XSS漏洞&＃xff0c;SQL注入漏洞等。

4. 前端测试工具Javascript测试及效验工具

Selenium:自己架的话用selenium自动化测试

接口测试用phpunit做了接口比对的自动化测试&＃xff0c;大概就是curl远端接口带着特定的参数状态等等&＃xff0c;看输入输出结果合法性一致性和数据结构。

云服务&＃xff1a;browserstack

YUI Test:YUI测试是一款基于浏览器&＃xff0c;提供解决方案的测试框架。使用YUI&＃xff0c;您可以方便地添加单元测试

JSLint

JSLitmus--轻量级&＃xff0c;直观的API

Regular Expression Tool&＃xff0c;Javascript Regular Expression Tester--正则表达式测试

5..压测工具

     loadRunner

     JMeter

6. ddos压力测试
XOIC

http://www.5mll.com/

http://www.liuliangshenqi.com/zhuanti/ylce/index.html

防DDOS

https://www.yundun.com/上海云盾

Php项目

http://download.csdn.net/download/blackcorpse/9744410

7.测试HTTP&＃xff0c;json接口&＃xff1f;

  Chrome下有个应用叫Postman。

  windows下显然是fiddler

  Restclient

Terminal用 curl&＃xff0c;就是postman,无UI版本

Node&＃xff1a;node 的可以使用 LivePool

Chrome插件&＃xff1a;HDC-简单、方便、快捷Chrome插件&＃xff0c;支持HTTP/HTTPS&＃xff0c;支持GET/POST/PUT/DELETE/HEAD/OPTIONS/PATCH&＃xff0c;请求参数可配置&＃xff0c;响应快捷&＃xff0c;结果清晰&＃xff0c;支持断言&＃xff0c;可保存&＃xff0c;可通过Google账号进行云备份。开发者调试&＃xff0c;测试者准入测试、回归测试的好帮手。使用Chrome浏览器打开&＃xff1a;chrome-extension://aejoelaoggembcahagimdiliamlcdmfm/dhc.html
Chrome插件&＃xff1a; Postman-比HDC更强大&＃xff0c;可配置成测试用例&＃xff0c;一键运行。https://chrome.google.com/webstore/detail/postman/fhbjgbiflinjbdggehcddcbncdddomop?utm_source&＃61;plus
Firefox插件&＃xff1a;Poster、RESTClient、HttpRequester
CURL-Linux自带&＃xff0c;拥有详细的参数提供测试。使用curl来调试你的应用
Java&＃xff1a;httpclient和resttemplate-常用&＃xff0c;纯编码&＃xff0c;完全自定义。
Python&＃xff1a;urllib-代码简洁&＃xff0c;纯编码&＃xff0c;快上手。HTTPie&＃xff1a;如何用httpie更高效的调试接口和HTTPie 工具使用入门
PHP&＃xff1a;PHPUnit&＃xff0c;PHPUnit在Windows下的配置及使用
Jmeter
其它&＃xff1a;站长工具http://tool.chinaz.com/Tools/httptest.aspx
SOJSON工具站在线HTTP接口测试支持选择编码格式

8.微信端接口测试

   微信接口测试&＃xff1a;https://mp.weixin.qq.com/debug/

   微信web开发者工具

9. 反爬虫策略

      微信使用微信的接口验证。

  验证码&＃xff0c;防IP&＃xff0c;Cooke池反爬虫&＃xff0c;限速访问&＃xff0c;

  高级方式&＃xff1a;行为验证加蜜罐

10.黑盒测试:自动化测试工具(用于功能测试)

http://www.51testing.com/html/89/n-130089-2.html

11.代码审计

   1.工具Burp Suite

https://www.gitbook.com/book/t0data/burpsuite/details

   2.根据功能点定向审计

   3.Cooike漏洞&＃xff1a;没有加salt问题。

http://www.51testing.com/html/89/n-130089.html

关于文件上传漏洞&＃xff1a;

1、说明&＃xff1a;不仅要在前端判断&＃xff0c;当我后台把代码做相应的处理之后&＃xff0c;依然要对上传类型做判断&＃xff0c;防止恶意改动上传文件类型导致上传恶意代码的问题。&＃xff08;扩展名限制要很全&＃xff09;

2.若是恶意分子将文件名后缀改了以后我的系统怎么判别它不是恶意代码&＃xff0c;

3.文件名截断问题&＃xff0c;

    是不是会因为文件名多加空格导致系统识别通过&＃xff0c;所以要用去除空格的正则好好判断一下。还要考虑由于进制修改造成的影响。

4&＃xff0c;文件头&＃xff0c;GIF89a认为是图片&＃xff0c;

关于文件下载&＃xff1a;是否有任意文件读取漏洞

关于文件删除&＃xff1a;任意删除仅仅判断了action是不是delete&＃xff0c;后续跟着的不是文件名&＃xff0c;如果不是去删文件&＃xff1f;

平台授权的时候&＃xff0c;不仅仅要授权模块的部分&＃xff0c;还要针对文件的查看&＃xff0c;更新&＃xff0c;删除做限制&＃xff0c;删除仅仅是后台管理员可以有相应的权限。

上传文件利用MD5存入路径&＃xff0c;下载的时候根据文件名和用户ID去判定这个文件有没有下载权限。

http://www.freebuf.com/articles/web/9396.html

http://www.freebuf.com/articles/web/11878.html

http://blog.csdn.net/whatday/article/details/59168605

http://blog.csdn.net/h4ck0ne/article/details/50570790

http://www.vuln.cn/8395

eval动态的执行括号里的语句&＃xff0c;也就是动态的执行连接好的字符串所代表的Javascript命令&＃xff0c;动态代码有效&＃xff0c;额外代码走动态代码部分&＃xff0c;--后门为什么会产生。

怎么会没有用呢&＃xff1f;
request("#")是可以接收到数据的&＃xff0c;有了这个文件&＃xff0c;黑客就可以在自己电脑上写好程序再向这个页面提交数据&＃xff0c;里面的命令也就可以执行了。。。。。
a.asp用以下内容:
&＃61;1234">fdsafdsafdsafdaf
<%&＃61;request("#")%>

流量劫持&＃xff1a;

      DNS劫持&＃xff0c;抓包-->url,传回连接修改--?后台-->后台数据库