精华内容
下载资源
问答
  • 测试网站是搭建在本地的开源电商网站,对网站个人信息修改进行自动化测试 操作内容包括:登录网站、进入个人资料,修改个人信息,修改后输出修改成功与否。 技术点: 对日历的修改 查看页面的HTML代码,日历是<...

    测试网站是搭建在本地的开源电商网站,对网站的个人信息修改进行自动化测试
    操作内容包括:登录网站、进入个人资料,修改个人信息,修改后输出修改成功与否。
    技术点:

    1. 对日历的修改
      查看页面的HTML代码,日历是<input…>输入框,但是readonly的属性,不能直接输入,需要修改javascript
    2. 智能显示等待(浏览器,最长等待时间,每几秒检查一次)
      WebDriverWait(driver,30,0.5).until(expected_conditions.alert_is_present())
      每隔0.5秒检查是否有alert弹出框,有则执行下面的代码
    from selenium import webdriver
    from selenium.webdriver.support import expected_conditions
    from selenium.webdriver.support.wait import WebDriverWait
    
    driver=webdriver.Chrome()
    driver.implicitly_wait(5)
    driver.maximize_window()
    driver.get("http://localhost:8077")
    
    driver.find_element_by_link_text("登录").click()
    new_win=driver.window_handles[-1]
    driver.switch_to.window(new_win)
    driver.find_element_by_id("username").send_keys("xiaobing")
    driver.find_element_by_id("password").send_keys("123456")
    #submit方法,类似于click。只能用于form表单中
    driver.find_element_by_id("username").submit()   #相当于定位登录按钮并点击的操作
    #点击账号设置
    driver.find_element_by_link_text("账号设置").click()
    # 点击个人资料
    driver.find_element_by_partial_link_text("人资").click()   #定位链接文本中的部分内容
    # 修改真实姓名
    driver.find_element_by_id("true_name").clear()
    driver.find_element_by_id("true_name").send_keys("菜小饼")
    # 选择性别
    driver.find_element_by_css_selector("[value='2']").click()  #只有value值唯一,在value=“2” 两边加 []
    #driver.find_element_by_css_selector('[value="2"]').click()   单引号和双引号效果一样
    # 输入生日
    # 删除日历输入框readonly属性
    javascript='document.getElementById("date").removeAttribute("readonly")'
    driver.execute_script(javascript)
    #删除默认日期,输入日历
    driver.find_element_by_id("date").clear()
    driver.find_element_by_id("date").send_keys("2000-01-01")
    #输入QQ
    driver.find_element_by_id("qq").clear()
    driver.find_element_by_id("qq").send_keys("12345688")
    #点击确定
    driver.find_element_by_css_selector('[value="确认"]').click()  #'确认'属性唯一,可用css_selector
    #弹出框的确定按钮
    # time.sleep(3)
    #智能显示等待(浏览器,最长等待时间,每0.5秒检查一次)
    WebDriverWait(driver,30,0.5).until(expected_conditions.alert_is_present())
    info=driver.switch_to.alert.text
    print(info)
    driver.switch_to.alert.accept()
    
    展开全文
  • 各行各业都普遍使用包含大量客户信息的系统,如果泄露可能会造成经济损失和不良社会影响。客户信息的泄露有多种途径,本文设计的客户信息安全性测试方法关注从系统的应用层面产生的泄露风险。

    一、客户信息安全性测试简介

    各行各业都普遍使用包含大量客户信息的系统,如果泄露可能会造成经济损失和不良社会影响。客户信息的泄露有多种途径,本文设计的客户信息安全性测试方法关注从系统的应用层面产生的泄露风险。

    比如,有些应用系统界面展现了较多的客户信息,有些界面具有导出、拷贝、打印功能,存在一定客户信息泄露风险。然而,有些界面展现的是系统内部分析结果、系统内部使用的客户标签数据,这些数据脱离系统本身,并不具有意义。

    一个客户信息应用系统往往包含较多的界面,不同应用界面展现的客户信息内容、数量等均不相同。哪些风险较高,那些风险较低,凭借主观经验判断很难精准定量分析。应用系统客户信息安全性测试正好可以解决这一问题,它采用定量评估方法,准确计算出每个展现客户信息应用界面的客户信息泄露风险值,取值范围在0至100之间,能够将风险量化为数值,便于定位风险、分级保护。

    二、建立评估模型

    想要通过计算机定量计算出客户信息泄露的风险值,先要建立一个评估的模型。这里,我们使用径向基函数(RBF)神经网络方法,具体实现通过以下几步:

    第一步:确定输入

    每个客户信息应用界面都包含如下一些特征信息:展现的客户信息要素的种类数量、展现的最多条数、精准查询定位功能、其他安全相关功能(如:打印、导出等等)。本方法需要将应用界面的特征信息抽象为特征向量X(x1,x2,……,xm)

    举个例子:可以将个人客户信息要素分为七类:

    • (一)身份标识信息,包括姓名/名称、证件类别、证件号码及有效期限、手机号;

    • (二)身份其他信息,包括座机电话、邮件、微信等联系方式、地址及照片等;

    • (三)认证信息,包括密码、秘钥、动态认证信息等;

    • (四)账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;

    • (五)财产信息,包括经营或收入状况、拥有的不动产状况、拥有的车辆状况、纳税额等;

    • (六)信用信息,包括授信或信用卡额度情况、贷款情况以及客户在经济活动中形成的,能够反映其信用状况的其他信息。

    • (七)其他信息。

    x1到X7表示每类客户信息要素在应用界面中出现的数量,Xi∈N,X8表示最多展现的行数数量级,即行数的常用对数四舍五入,X8=lgL,L为应用界面最多展现的行数。表示对某一客户精准定位功能,取值0或1。X9∈{0,1},X10为预留位,表示其他特征,X10∈N。

    采用上面的方法,图1的输出界面的特征向量为(2,0,0,0,3,1,6,2,1,0),其中一类客户信息要素2个,五类客户信息要素3个,六类客户信息要素1个,七类客户信息要素6个。最大可展现的客户数为100,常用对数为2。可以精准定位,无特殊特征。

    图1:客户信息系统应用界面

    以上是对个人客户信息系统应用界面提取特征向量的一种举例,实际应用本方法,可以根据情况调整,适应不同应用环境。

    第二步:建立训练样本

    本发明建立样本的方法采用调研法。首先制定出合理的评分范围,调研对象在评分范围内对样本进行打分。对于上文中对个人客户信息要素分为七类的方法,打分范围的规则如下:

    100分档至少包含以下信息组合之一:身份标识+认证;账户+认证。

    80分档至少包含以下信息组合之一:身份标识+财产;身份标识+信用;

    60分档至少包含以下信息组合之一:只含有身份标识;身份标识+身份其他;身份其他+认证;身份其他+帐户;身份其他+财产;身份其他+信用;

    40分档至少包含以下信息组合之一:认证+财产;认证+信用;账户+财产;账户+信用;财产+信用;

    20分档只含有以下信息之一:身份其他;认证;帐户;财产;信用。

    如某个样本满足80分档,需要结合特征向量其他维度取值情况主观判断确定80-99之间的具体一个分值。不同的调研者对同一个样本的打分可能不一样,这里采用统计学均值方法确定样本唯一取值。采用这种方法可以获得噪声相对较小的样本集。

    第三步:建立评估模型
    在这里插入图片描述
    图2:径向基函数神经网络

    径向基函数神经网络如图所示。其中输入层的大小为m,输出层的大小为1,隐层的大小为K。本发明采用非监督的机器学习方法,建立径向基函数神经网络主要包括以下几个步骤:

    • 1、确定隐层的K。建议1.5m≤K≤2m,K∈N,m是输入层大小。

    • 2、采用K-均值聚类(也称K-meas聚类)方法,计算N个输入样本的K个最优聚类均值C1,C2,…CK。以该中心作为径向基函数核函数。

    • 3、建立镜像基函数核函数(高斯函数)

    高斯函数:
    在这里插入图片描述

    ,其中
    在这里插入图片描述

    ,Cmax为所选取中心之间的最大距离。

    建立径向基函数神经网络的输入为N个样本X1,X2,…,XN。其中Xi=(xi1,xi2,…,xim),其插值函数为:

    在这里插入图片描述

    插值条件代入:
    在这里插入图片描述

    该公式可以简写为Φw=d,径向基函数神经网络的核心是计算权值w。由于Φ为N行K列矩阵,行数大于列数,此时可以求Φ的伪逆。即

    在这里插入图片描述

    。权值
    在这里插入图片描述
    在这里插入图片描述

    图3:建立评估模型流程图

    三、使用模型进行风险评估

    模型建立好后,我们就能够使用模型来评估客户信息泄露的风险啦,这种客户信息安全性测试方法,适用于客户信息系统对外展示级别的风险分析,可以分析计算每个应用界面的客户信息泄露风险值,适用于各领域的客户信息系统。

    通过较小的样本训练集可训练出成熟的神经网络,自动分析判断客户信息泄露风险,代替人工判断,减少人工分析的工作量及主观性。可以通过采用或者自动化的方法,抽取出客户信息系统应用界面的特征向量X(x1,x2,……,xm),输入到神经网络的输入层,自动计算出风险分值F(X)可以对同一个系统多个界面进行评估,分数极高的若干界面可以加强访问控制。

    也可以用同一个模型对不同系统进行评估,横向比较不同系统之间客户信息泄露风险的高低,对不同应用系统分级保护。


    微信搜索公众号:程序员二黑

    专注于软件测试资源分享:

    主要分享测试基础、接口测试、性能测试、自动化测试、TestOps架构、Jmeter、LoadRunner、Fiddler、MySql、Linux、简历优化、面试技巧以及大型测试项目实战视频资料

    感兴趣的可以关注一下

    精彩的内容要和朋友分享哦

    展开全文
  • 个人信息的重要性不言而喻,有时候我们并不想把自己的信息透露给任何人,但在某些网站注册的时候,在所难免的要输入一些个人信息,【 Fake Name Generator 】可以根据你的要求生成不同国家公民的身份信息。...
    个人信息的重要性不言而喻,有时候我们并不想把自己的信息透露给任何人,但在某些网站注册的时候,在所难免的要输入一些个人信息,【 Fake Name Generator 】可以根据你的要求生成不同国家公民的身份信息。[color=red][b]当然这种做法是不值得提倡的![/b][/color]

    Random name generator:[url=http://random-name-generator.info/]http://random-name-generator.info/[/url]
    [img]http://dl2.iteye.com/upload/attachment/0093/7018/eb1d47ee-716b-3e6d-ab67-ebacd1fb47e8.jpg[/img]

    [url=http://www.fakenamegenerator.com/]http://www.fakenamegenerator.com/[/url]
    [img]http://dl2.iteye.com/upload/attachment/0088/7455/0a838e3b-f82e-3229-a52b-dec4e24bf182.png[/img]

    对于程序员来说,个人信息却是测试系统必不可少的、相当重要的一部分基础数据。基本上大多数系统都是基于用户登录的,那么在测试系统时候,首先需要的是登录一大批的测试用户,这个时候很多人想到的是随意输入一些能够让系统通过校验的数据,这对于少量的用户信息需求还可以,但是对于大量的话,估计你想那些名字都得一些时间。而且随意输入的那些个人信息更是乱七八糟,不堪入目。

    这样势必就需要一个工具,能够生成一批个人信息出来以供测试。不知道国内有没有这样的工具,这里介绍2个日本的个人信息生成网站。

    [b](1)[url=http://kazina.com/dummy/index.html]http://kazina.com/dummy/index.html[/url][/b]
    输出形式:HTML、XML、CSV、TSV
    最大件数:5000
    输出内容:姓名、邮箱地址、性别、年龄、出生日期、婚姻状况、血型、住址、电话等。
    [img]http://dl2.iteye.com/upload/attachment/0088/7457/90a9a927-b953-3282-9121-975785419543.png[/img]

    [b](2)[url=http://hogehoge.tk/personal/]http://hogehoge.tk/personal/[/url][/b]
    输出形式:XML、Excel、CSV
    最大件数:5000
    输出内容:姓名、性别、电话、邮箱地址、住址、出生日期、年龄、血型等。
    [img]http://dl2.iteye.com/upload/attachment/0088/7459/18221904-ffe2-3151-995c-545a87bb3a49.png[/img]
    展开全文
  • 本人从事网站测试工作已经三年了我个人认为一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手 ...

      本人从事网站测试工作已经三年了我个人认为一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手
       数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信  息、用户登陆密码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但 一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!
      登录: 一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访问/下载等。
      超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候, 需要重新登录才能使用其功能。
       SSL:越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术。(RSA), 在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以 获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成 https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。
      服务器脚本语言:脚本语言是常见的安 全隐患。每种语言的细节有所不同。有些   脚本允许访问根目录。其他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。找出站点使用了哪些脚本语言,并研究该语言 的缺陷。还要需要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。
      注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。这个网站包含了脚本代码(有允许访问根目录的特性)就可能有这个安全隐患。
      日志文件:在服务器上,要验证服务器的日志是否正常工作,例如

    CPU的占用率是否很高,是否有例外的进程占用,所有的事务处理是否被记录等。
      目 录:WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用 户,这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权 限,将这种隐患降低到最小程度。
    关键字: 网站安全
    展开全文
  •  功能需求:自定制HTTP服务器框架,搭建个人网站主页,展示个人信息,链接博客,链接github,链接个人作品二 项目核心流程 读取并解析请求 根据请求计算响应 把响应写回到客户端 三 项目代码实现  欢迎点击 四 项目...
  • 一、客户信息安全性测试简介各行各业都普遍使用包含大量客户信息的系统,如果泄露可能会造成经济损失和不良社会影响。客户信息的泄露有多种途径,本文设计的客户信息安全性测试方法关注从系统的应用层面产生的泄露...
  • (1分)3性别:要求用单选框或下拉框实现,选项只有“男”或“女”;(1分)4学号:要求八位数字组成,前四位为“2018”开头,输入自己学号;...6点击“添加”按钮,将学生个人信息存储到数据库中。(3分)...
  • 测试实用网站分享

    2020-04-06 21:22:22
    实用网站分享 中国大学MOOC ...个人性质的原版软件信息收录站点 https://msdn.itellyou.cn/ StickyMinds 是一个老牌的软件测试博客 https://www.stickyminds.com/ XMind: ZEN - Trial Version ...
  • 用户应该能够看到我的个人信息(姓名,简短描述,当前位置,电子邮件和我的社交网络的链接)并向我发送消息。 /blog 用户应该可以看到我的所有帖子。 /posts/[slug] 用户应该能够看到完整的博客文章。 主页将...
  • 在交互式监视模式下启动测试运行程序。 有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化构建,文件名...
  • 测试目标是一个旅游网站,发现了sql注入漏洞,泄露2万多用户信息,可任意下载服务器上文件。 所有可利用信息均打码处理。 渗透过程 正常搜索没啥问题 但是当我们输入1’就会报错 尝试注释闭合,发现失败 尝试不...
  • ASP大马网站渗透测试

    2019-01-15 22:40:17
    四、 右上角的ZONE-H图标为一键提交被黑网页到被黑站点统计www.zone-h.com.cn,个人信息请编辑程序修改,或用生成器生成。 五、 WEB根目录和本程序目录都可以转入文件操作页。  文件操作一:左侧为磁盘和快捷不安全...
  • 个人网站 这是的存储库。 该网站的建立使用: Eleventy :将数据和内容编译成静态HTML页面 Nunjucks :用于在Eleventy中进行模板制作 Sass :扩展CSS以获得更多功能和预处理 Gulp :将Sass编译为CSS并将文件复制到...
  • 一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android,iOS,WEB,H5,静态网站信息收集扫描工具,可以帮助渗透测试工程师,攻击队成员,红队成员快速收集到移动端或静态WEB站点中关键的资产信息并提供...
  • 个人网站-源码

    2021-02-14 05:18:55
    我的个人网站。 易于修改,并使用带有Node.js,React,Express,React-Router,Hot Module Reloading,Webpack和许多其他技术的现代javascript构建。 该存储库的master分支包含我的网站的简化版本,旨在在github...
  • 在交互式监视模式下启动测试运行程序。 有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化构建,文件名...
  • http://www.51ste.com 51ste软件测试部落,这是国内比较优秀的个人软件测试网站,干货十足,不容错过,里面较干净纯粹 https://www.testwo.com/ 软件测试窝,有些测试文章值得一读,经常也会公布一些与软件测试有关...
  • WEB设计软件测试中Web网站的设计、管理与维护如果你在因特网上发现一个对你的工作有帮助或有参考价值的网站,你一定会将其网址告诉你的同事;...有许多人员设计过网站个人主页,这在技术实现上已十分容易,有许多几
  • 1.下载电脑网站的官方demo: 2.下载解压导入eclipse readme.txt请好好看一下。只有一个Java配置类,其余都是JSP。3.配置AlipayConfig(1).注册蚂蚁金服开发者账号(免费,不像苹果会收取费用)注册地址:...
  • 在确定渗透范围后就要开始进行信息收集阶段 ...主要收集的信息有:DNS 服务器、路由关系、whois数据库、电子邮箱、电话、邮箱地址、个人信息、用户账户 DNS信息 DNS是什么? 各位老爷,自行百度 主要收集...
  • 本文以这三点为基础,围绕信息安全学习过程展开论述。大型目标点,在新知识的学习中,明确学习目标是第一件要做的事,有目标才知道自己该往哪里走。但是对新人来说,在无人指导的情况下,明确目标这一步会比较迷茫,...
  • 学校网站管理系统源码,学校模板正式版,针对各类学校,教学,教研单位实现电子教学教育和电子学校,学校上网,学校信息化的需求进行定向开发的学校网站模板,模版,适用于幼儿园网站,小学学校网站,初中学校网站,中学学校...
  • 个人网站 本自述文件概述了与此Ember应用程序进行协作的细节。 此应用程序的简短介绍可以轻松地转到此处。 先决条件 您需要在计算机上正确安装以下物品。 (带有NPM) 安装 git clone 此存储库 cd personal-...
  • 个人网站源码

    2014-03-26 15:43:44
    测试过的源码用相关的FTP软件上传到您使用的空间,建议你绑定您的个性域名。详情请找 IDC空间服务商咨询。 二.使用操作 登录后台后,你可以通过左边的导航菜单来进行管理操作,如果有其它疑问可链接官方网站...
  • 可以快速打开电脑一些工具和信息,可批量修改文件名称,可将自己的好网站收藏起来,比系统的好,记得要装framework2.0
  • 二、填写个人信息 对于第一次登陆的账户来说是需要填写信息的,按照提示填写,提交就行了。 三、进入沙箱管理界面 信息填写完成会跳转到这个页面,选择 开发中心》》研发服务 四、配置沙箱数据 (一)沙箱的appid...
  • 在交互式监视模式下启动测试运行程序。 有关更多信息,请参见关于的部分。 yarn build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化构建,文件名包含...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,050
精华内容 420
关键字:

网站个人信息测试