渗透测试步骤

(1)使用控制的一个账户执行一次完整、有效的登录。使用拦截代理服务器记录提交的每一份数据、收到的每一个响应。

(2)多次重复登录过程,以非常规方式修改提交的数据。例如,对于客户端传送的每个请求参数或cookie:

(a)提交一个空字符串值;

(b)完全删除名/值对;

(c)提交非常长和非常短的值;

(d)提交字符串代替数字或相反;

(e)以相同和不同的值,多次提交同一个数据项。

(3)仔细检查应用程序对提交的每个畸形请求的响应,确定任何不同于基本情况的差异。

(4)根据这些观察结果调整测试过程。如果某个修改造成行为改变,设法将这个修改与其他更改组合在一起,使应用程序的逻辑达到最大限度。