payload

一、XSS攻击 （一）、反射性型XSS（GET） 我们先输入’”<>,1234 用于测试我们的输入会不会被过滤掉，因为有特殊字符。 然后看一下源码。 这里可以看到我们的输入被直接显示在了P标签里。 然后我们输入我们的JS代码试试 <script>alert("123")</script> 发现显示对输入长度有限制，我们F12更改一下继续输入。 我们查看源码可以发现，我们输入的payload嵌入了到了 p 标签里面。 这又是正确的JS代码，所以被浏览器正确执行了。 （二）、反射性型XSS（POST） 首先登陆进来 因为是POST，所以参数不会体现在URL里，这里我们使用Burp抓包看。 也是一样，先输入特殊字符防过滤。 没有被过滤，我们可以POST传参试试。 <script>alert("document.cookie")</script> OK （三）、存储型XSS 跟之前一样，直接测试语句。 <script>alert("123")</script> （四）、DOM型XSS 首先弹窗试试。 点击 what do you see? 看源码，发现onclick后会执行函数 domxss() ,其作用是读取input的值并将其拼接到新创建的link节点中。 （五）、DOM型XSS-x 一样先试一下过滤 可以发现'"<>都被过滤了。 同理还是看源码。 构造payload： '><img

首先Scrapy 发送payload请求格式如下： def start_requests(self): querystr = { "ctoken": "U-ang1zmpP6c3VO4", "sceneKey": "DEFAULT", "pdKey": "P_ECTBILL_QUOTATION1", } payload = { "executeKey": "E_QUOTATION-RATE_QUERY_NEW", "pdKey": "P_ECTBILL_QUOTATION1", "requestJson": '[{"acceptBankNo":"313143005157","bankLevel":"04","beginReceiptMoney":"0","endReceiptMoney":"500000","billReceiptMoney":"20000","expireDay":1577783940394,"billBizType":"KHT"}]', "sceneKey": "DEFAULT", } data = json.dumps(payload) 　　# payload格式需要用dumps转成string api = self.url + urlencode(querystr) 　　# Query string parameter yield Request(url

自动化测试要满足四个条件： 1 - 自动化用例能够完成所有测试步骤 -------- postman不支持 没有完整的用例管理系统 2 - 每个用例的输入数据，必须要自动填入 -------- postman支持 3 - 每个用例的结果检查，必须可以用代码自动完成 ------ postman支持 4 - 具备环境初始化和清除功能 ------ postman不支持 postman受到沙盒限制并不能任意引用第三方库 python语言也可以实现web api接口测试。主要是构造出相应的http请求。 * 内置库有 httplib urllib2 * 第三方库 urllib3 requests pyCurl 因此，要想进行接口自动化，我们就来了解下Request库。 ----------------------------------------------------------------------------------------------------------------------------------------------------------------- Requests库： 第三方库，简单易用、功能强大，是python实现的最简单易用的HTTP库。 需要手动安装： pip install requests 提示successful即安装成功