随着信息化技术的不断发展，软件安全成了软件行业的重大挑战，因此安全测试也成为了测试人员必备的技能之一。沐沐在安全测试过程中较为常见的就是接口越权漏洞，在尝试过多种工具进行越权漏洞测试后，最终找到了个人认为最便捷最有效率的方式，即使用Burp Suite工具的Auth Analyzer插件进行接口越权批量测试；并且将接口越权测试作为常态化测试内容，不断提升软件安全测试的深度和广度。下文将对接口越权和Burpsuite工具进行简介，重点说明Auth Analyzer插件进行接口越权批量测试的步骤。　　一、接口越权　　越权访问（Broken Access Control，简称 BAC）是 Web...

　　在使用loadrunner的过程中，有好多地方都需要做关联，那么我们又该如何做关联呢？　　首先我们录制一个脚本，然后回放，发现有报错的地方，那么我们首先想到的就应该是关联。loadrunner这个工具很强大，它可以自动给我们查询出有可能出现关联的地方。点击Design-Design Studio：　　如果脚本中没有需要关联的地方，那么显示如下页面：　　如果脚本中有需要关联的地方，就会出现如下的页面：　　通过这种关联的方式，有可能会将本来不需要关联的点给搜索出来，也可能会将本应该进行关联的地方漏掉。所以我们在用这种方法查找出需求关联的地方后，需要具体问题具体分析，并不需要将所有的都设置成关联...

测试策略是除了测试用例之外的其他注意事项，和测试力度，以及一些关注点。当系统较庞大，功能较多时，除了各个模块自己的功能相关的具体测试设计，还需要测试组长制定一些整体的测试决策，测试框架、测试策略、测试计划。测试策略主要覆盖哪些方面呢？主要是测试范围和测试重点。测试范围是指定测试的广度，比如，通话，短信和联系人，测试时候需要覆盖这些模块。测试重点是指需要重点关注的功能点，比如，长时间通话，文本超长的短信，彩信，一个联系人有多个号码，联系人姓名是特殊字符，等等。制定测试策略特别像古代的军师出谋划策，以最少的成本完成最高的测试质量并尽可能覆盖全测试的各个模块，保证产品质量。运筹帷幄之中，决胜千里之外...

之前做过一个项目，我们公司内部测试完功能之后，还会拿着项目去竞标，在这个过程中，举办方会拿我们的软件找一些专业的公司做检测，其中有一项就是安全漏洞扫描。其实扫描出来的漏洞，用户平时使用中基本很小的概率碰到，但是举办方会拿着这个说事，要求必须整改。这些安全漏洞中最常见的是csrf跨站攻击，修改起来其实也不是特别麻烦，那我们主要就看下平时测试的时候应该怎么注意才能避免这个问题。【csrf攻击的原理】：用户登录浏览器，打开网页A，输入登录信息并操作网站，在未退出登录的情况下，另外开启一个tabB，访问网站进行操作，由于A的登录信息（cookie）已经存储在浏览器中，此时网页B接收到用户请求后，如果是...