我目前正在处理一个管理面板项目,并与一名自由职业者合作。 他正在使用引导程序主题、php 和 mysql。 我们即将结束该项目,我想在得到它之前对其进行测试,但我对测试非常缺乏经验。

我的第一个问题是我应该对其应用什么样的测试方法(安全性,ui)? 其次,因为它需要用户名和密码,我可以应用什么类型的自动化测试方法?

#1楼 票数:0

1/ 安全性: - 确保使用服务器端编码功能过滤 php 实体,否则它可能会受到 sql 注入的攻击,并允许攻击者访问管理员权限(阅读更多信息:通过 sql 注入破坏身份验证)

  • 确保登录机制不使用 302 重定向,否则攻击者可以停止重定向并访问您的管理面板(阅读更多信息: https : //medium.com/@mustafakhan_89646/asuss-admin-panel-auth-bypass- af5062584ddf )

  • 确保在管理源代码脚本的每个函数中都包含会话和 cookie,否则攻击者可能会在管理端导致非特权操作(例如:IDOR、通过目录暴力破解的 sqli)

对于第二个问题,我不明白你想做什么,所以如果你不明白我看看()之间的词,哈哈

  ask by birdcage translate from so

未解决问题?本站智能推荐:

1回复

如何测试我的应用程序方法是否在不实际调用 REST API 的情况下处理 REST API 的 HTTP 状态 404

我目前正在尝试使用 JUnit 为我的应用程序自动化一些测试。 我的应用程序有一个调用 3rd 方 REST API 的方法。 我需要检查该方法是否正在处理像 404 这样的 HTTP 状态代码,而没有实际调用 4rd 方 API。 例如,我的方法: 我需要测试 getNumUsers 方法是
2回复

集成测试,但多少? [关闭]

我团队最近的辩论让我很奇怪。 基本主题是我们在功能/集成测试中应该涵盖多少以及它们应该包含哪些内容(当然,它们并不相同,但是这个示例在无关紧要的情况下是虚拟的)。 假设您有一个“控制器”类,如下所示: 我们需要进行大量的单元测试(例如,如果验证失败,或者DB中没有数据,.....
2回复

Zephyr写作测试

我在这里阅读文档: https : //zephyrdocs.atlassian.net/wiki/display/ZTD/Writing+Tests 关于用西风写测试,但我不确定那些测试应该带来什么。 例如,该视频将一个测试用例显示为“可以从商店安装验证应用程序”或类似的内容。
1回复

如何测试SSIS包?

如何测试SSIS包? 在测试ssis包时应该注意哪些事项? 测试时应该编写哪些测试用例步骤?
1回复

测试和开发环境之间的回归测试为1000或URL?

我需要保证对具有1000个URL的站点所做的更改。 使用以下结构在live和dev环境之间进行回归测试的最简单方法是什么? 需要进行可视化回归测试并捕获控制台和任何404资产中的任何Javascript错误。 是否有可以推荐的第三方工具? SAAS在线?
1回复

如何确定测试范围

我如何确定测试功能的最佳方法是什么: 举例 我有一个电子邮件验证,它是由返回一个错误对象的函数进行的,我应该将其作为单元测试进行测试并测试此函数,还是应该创建一个 e2e 来测试 ui 是否显示正确的验证消息?
2回复

通过网络I / O测试驱动FTP客户端,这是否属于集成测试或功能测试?

我是TDD的新手,这是我第一次测试实际项目。 首先,我想测试一下FTP客户端。 在我看来,由于FTP客户端自然地处理网络I / O,因此没有必要对它进行单元测试,因为单元测试不应包含任何I / O操作,而应仅包含内存中的操作[1]。 混乱落在了集成测试和功能测试中。 我应该在哪里放置
1回复

对不同语言进行相同的测试

我有一个C#API。 现在,我还需要一个Java实现。 并同时维护两个api。 为了确保这两种实现不会随时间而变化,我想在它们之间共享相同的测试(不一定是单元测试,至少是端到端测试)。 到目前为止,我可以想到两种不同的方法: 将这两种实现都放在rest api后面,并通