2015年十一月月 发布的文章

Web安全测试知多少

1. 数据验证流程:一个好的web系统应该在IE端,server端,DB端都应该进行验证。但有不少程序偷工减料,script验证完了,就不管了;app server对数据长度和类型的验证与db server的不一样,这些都会引发问题。有兴趣的可参看一下script代码,设计一些case,这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的script代码,然后提交了一个form,引发了一个系统的重大漏洞后门

2. 数据验证类型: 如果web server端提交sql语句时,不对提交的sql语句验证,那么一个黑客就可暗喜了。他可将提交的sql语句分割,后面加一个delete all或drop database的之类语句,能将你的数据库内容删个精光!我这一招还没实验在internet网站上,不知这样的网站有没有,有多少个。反正我负责的那个web系统曾经发现这样的问题。

3. 网络加密,数据库加密不用说了吧。

WEB软件最常碰到的BUG为:

1、SQL INJETION

2、对文件操作相关的模块的漏洞

3、COOKIES的欺骗

4、本地提交的漏洞

阅读剩余部分 –

如何查找MySQL中查询慢的SQL语句

如何在mysql查找效率慢的SQL语句呢?这可能是困然很多人的一个问题,MySQL通过慢查询日志定位那些执行效率较低的SQL 语句,用–log-slow-queries[=file_name]选项启动时,mysqld 会写一个包含所有执行时间超过long_query_time 秒的SQL语句的日志文件,通过查看这个日志文件定位效率较低的SQL 。下面介绍MySQL中如何查询慢的SQL语句

阅读剩余部分 –

HP ALM 使用经验

使用HP ALM(Application Lifecycle Management)软件有一个多月的时间了,我是从安装,部署,建项,配置,使用,再到问题收集,这个过程过来的。发现ALM是一个功能确实强大,但是使用起来让人又爱又恨。

阅读剩余部分 –

Qc与svn进行版本控制

今天想起来qc了,以前用qcvss进行版本控制设置成功了。现在突然想试试svn,就心血来潮的干了起来,可是在做的过程中,还真遇到了一些问题,现在写下来,与大家共享。

阅读剩余部分 –

我在华为做敏捷测试的那些流程【作者:刘利方】

一、 开发和测试的通性困扰?
面对复杂性(客户):不断地修改计划、不断地增加预算、低劣的产品质量……
面对复杂性(项目组成员):经常加班到深夜、提交的产品不合格……
二、敏捷开发中的敏捷测试目的:
敏捷宣言
个体和交互比过程和工具更有价值;

能工作的软件比全面的文档更有价值;

顾客的协作比合同谈判更有价值;

及时响应变更比遵循计划更有价值。

其核心是:以人为本,发挥人的主观能动性.

阅读剩余部分 –