认识单元测试
单元测试是对软件组成单元进行的测试。其目的是检验软件基本组成单位的正确性。
测试对象是软件设计的最小单元:模块,又称为模块测试。
单元测试的AIR原则
单元测试的BCDE原则
功能性测试之边界值测试
常用单元测试框架简介
系统安全规约实践
权限控制之越权访问漏洞
越权访问(Broken AccessControl,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
越权访问漏洞防范措施
水平越权访问漏洞
水平越权访问漏洞防御
敏感数据处理规约
敏感数据处理
敏感数据处理之特殊信息脱敏
根据百度词条的解释,数据脱敏是“指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。
SQL注入攻击防御
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因.
Mybatis框架SQL注入漏洞场景
XSS跨站点脚本攻击及其防御之术
XSS跨站脚本攻击(Cross Site Scripting, XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为
措施:
? 输入过滤:单引号、双引号、<、>等
? 编码转换:HTML实体编码、JavaScript编码
? Cookie安全策略:HttpOnly