‘壹’ 网站服务器如何做访问压力测试
网站服务器的压力测试我觉得主要有一些几点。
1.协议这边基本上以http或者https为主了,如果使用其他协议需要分析其打解包的方法。
2.要产生一定的压力,压力源这边一定要有保证。一般都是用机器人来模拟压力,关于机器人的逻辑可以根据具体业务来开发。
3.需要观察在一定压力下,服务器的各项性能指标(cpu,内存,IO,网络流量)进行观察,比如内存是否有泄漏,cpu利用率过高的情况。
4.压力测试应该是一个持续性的过程,在这个过程中需要统计服务器的性能数据,包括tps,以及机器的负载情况等。据此可以分析服务器的瓶颈在何处,后续可以针对优化。
5.目前大部分的服务器都部署在Linux系统上,测试同学还需要掌握相关的Linux命令以便可以更好的测试。
如果你觉得前面的太麻烦,可以来WeTest服务器压力测试高并发,实时性能报表,专家级性能优化建议,目前我们正在做网站压测这一块,你要做的仅仅是填下被测的URL即可,压力源、数据统计这些琐碎的工作交给我们就行了。
‘贰’ 如何对网站进行漏洞扫描及渗透测试
注册一个账号,看下上传点,等等之类的。
用google找下注入点,格式是
Site:XXX.com inurl:asp|php|aspx|jsp
最好不要带 www,因为不带的话可以检测二级域名。
大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。
简单枚举一些渗透网站一些基本常见步骤:
一 、信息收集
要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等
二、收集目标站注册人邮箱
1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。4.社工找出社交账号,里面或许会找出管理员设置密码的习惯 。5.利用已有信息生成专用字典。6.观察管理员常逛哪些非大众性网站,看看有什么东西
三、判断出网站的CMS
1:查找网上已曝光的程序漏洞并对其渗透2:如果开源,还能下载相对应的源码进行代码审计。
3.搜索敏感文件、目录扫描
四、常见的网站服务器容器。
IIS、Apache、nginx、Lighttpd、Tomcat
五、注入点及漏洞
1.手动测试查看有哪些漏洞
2.看其是否有注入点
3.使用工具及漏洞测试平台测试这个有哪些漏洞可利用
六、如何手工快速判断目标站是windows还是linux服务器?
Linux大小写敏感,windows大小写不敏感。
七、如何突破上传检测?
1、宽字符注入
2、hex编码绕过
3、检测绕过
4、截断绕过
八、若查看到编辑器
应查看编辑器的名称版本,然后搜索公开的漏洞
九、上传大马后访问乱码
浏览器中改编码。
十、审查上传点的元素
有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。
扫目录,看编辑器和Fckeditor,看下敏感目录,有没有目录遍及,
查下是iis6,iis5.iis7,这些都有不同的利用方法
Iis6解析漏洞
Iis5远程溢出,
Iis7畸形解析
Phpmyadmin
万能密码:’or’='or’等等
等等。
每个站都有每个站的不同利用方法,自己渗透多点站可以多总结点经验。
还有用google扫后台都是可以的。
‘叁’ 网站渗透测试,怎么进行
1.信息收集:
1)、获取域名的whois信息,获取注册者邮箱姓名电话等。
2)、查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。
3)、查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。
4)、查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等。
5)、扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针。
6)、google hack 进一步探测网站的信息,后台,敏感文件。
2.漏洞扫描:
开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含, 远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等。
3.漏洞利用:
利用以上的方式拿到webshell,或者其他权限。
4.权限提升:
提权服务器,比如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,巴西烤肉, linux藏牛漏洞,linux内核版本漏洞提权,linux下的mysql system提权以及oracle低权限提权。
5.日志清理:
结束渗透测试工作需要做的事情,抹除自己的痕迹。
需要规避的风险:
1. 不执行任何可能引起业务中断的攻击(包括资源耗竭型DoS,畸形报文攻击,数据破坏)。
2. 测试验证时间放在业务量最小的时间进行。
3. 测试执行前确保相关数据进行备份
4. 所有测试在执行前和维护人员进行沟通确认。
‘肆’ 怎么样测试一个网站呢
这应该从以下几个方面去测试的
一、网站的功能,主要看原计划的模块实现了没有,如果没有,后台是不是可以随时增加;
二、每一个模块的更新是否是正常的,比如添加新闻、上传文件等;
三、最好找个网站注入程序检测一下网站是否有漏洞,否则一旦有漏洞,可能网站正式启用以后经常会让搞黑;
四、检查网站的数据库路径和名称是否是常规的路径和名称,如果是,应该改为自已特定的路径和名称,以增加网站的安全性;
五、检查网站的数据库备份功能,看能否备份数据库;
六、就是关于风站的所有资料,包括你的域名、FTP用户名及密码以及网站备案等必须的信息。
‘伍’ 给你一个网站,你如何做测试
网站测试分以下几方面内容:
性能测试
(1)连接速度测试:用户连接到电子商务网的速度与上网方式有关,他们或许是电话拨号,或是宽带上网,打开速度越快的网站,越受用户喜爱。
(2)负载测试:负载测试是在某一负载级别下,检测电子商务系统的实际性能。允许多少个用户同时在线,可以通过相应的软件在一台客户机上模拟多个用户来测试负载。
(3)压力测试:压力测试是测试系统的限制和故障恢复能力,也就是测试电子商务系统会不会崩溃。
安全性测试
对网站的安全性(服务器安全,脚本安全)可能有的漏洞测试,攻击性测试,错误性测试。对电子商务的客户服务器应用程序、数据、服务器、网络、防火墙等进行测试。用相对应的软件进行测试。
基本测试
包括色彩的搭配,连接的正确性,导航的方便和正确,CSS应用的统一性。
网站优化测试
(1)引擎优化测试:好的网站是看它是否经过搜索引擎优化了,网站的架构、网页的栏目与静态情况等。
(2)用户优化测试:用户来到网站能能够在3-5次,找到其需要的内容。方便用户的网站倍受用户的亲昵。
功能实现:网站现有版本,需求是否完全实现。满足需求的网站才是有用的网站。
‘陆’ 网站测试都需要进行哪些测试以及如何进行测试
网站测试分为这几块:
1)功能测试 :该有的功能是否都能用,有没有什么大的bug
2)页面测试链接测试
3)页面UI测试
4)压力测试:测试自己的网站性能是否优良,网页访问速度,并发访问量怎样,支持一个多大的pv级
5)安全测试:测试自己的网站是否安全,注册,登录,交易等模块是否有安全漏洞 等等,
想要知道具体的,可以参考这3篇文章:http://mp.weixin.qq.com/s/irFIngJ6gROJ3KSRuPTihg
http://mp.weixin.qq.com/s/RotzUHPsZEsaAzb5pfBwzg
http://mp.weixin.qq.com/s/qXvxajkWoVcD7nHPBwsXpA
希望能够帮助到你
‘柒’ 网站性能测试主要有哪几种方法
常见的性能测试方法有以下几种:
1.负载测试
在这里,负载测试指的是最常见的验证一般性能需求而进行的性能测试,在上面我们提到了用户最常见的性能需求就是“既要马儿跑,又要马儿少吃草”。因此负载测试主要是考察软件系统在既定负载下的性能表现。我们对负载测试可以有如下理解:
(1)负载测试是站在用户的角度去观察在一定条件下软件系统的性能表现。
(2)负载测试的预期结果是用户的性能需求得到满足。此指标一般体现为响应时间、交易容量、并发容量、资源使用率等。
2.压力测试
压力测试是为了考察系统在极端条件下的表现,极端条件可以是超负荷的交易量和并发用户数。注意,这个极端条件并不一定是用户的性能需求,可能要远远高于用户的性能需求。可以这样理解,压力测试和负载测试不同的是,压力测试的预期结果就是系统出现问题,而我们要考察的是系统处理问题的方式。比如说,我们期待一个系统在面临压力的情况下能够保持稳定,处理速度可以变慢,但不能系统崩溃。因此,压力测试是能让我们识别系统的弱点和在极限负载下程序将如何运行。
例子:负载测试关心的是用户规则和需求,压力测试关心的是软件系统本身。对于它们的区别,我们可以用华山论剑的例子来更加形象地描述一下。如果把郭靖看做被测试对象,那么压力测试就像是郭靖和已经走火入魔的欧阳峰过招,欧阳锋蛮打乱来,毫无套路,尽可能地去打倒对方。郭靖要能应对住,并且不能丢进小命。而常规性能测试就好比郭靖和黄药师、洪七公三人约定,只要郭靖能分别接两位高手一百招,郭靖就算胜。至于三百招后哪怕郭靖会输掉那也不用管了。他只要能做到接下一百招,就算通过。
思考:
我们在做软件压力测试时,往往要增加比负载测试更多的并发用户和交易,这是为什么?
3.并发测试
验证系统的并发处理能力。一般是和服务器端建立大量的并发连接,通过客户端的响应时间和服务器端的性能监测情况来判断系统是否达到了既定的并发能力指标。负载测试往往就会使用并发来创造负载,之所以把并发测试单独提出来,是因为并发测试往往涉及服务器的并发容量,以及多进程/多线程协调同步可能带来的问题。这是要特别注意,必须测试的。
4.基准测试
当软件系统中增加一个新的模块的时候,需要做基准测试,以判断新模块对整个软件系统的性能影响。按照基准测试的方法,需要打开/关闭新模块至少各做一次测试。关闭模块之前的系统各个性能指标记下来作为基准(Benchmark),然后与打开模块状态下的系统性能指标作比较,以判断模块对系统性能的影响。
5.稳定性测试
“路遥知马力”,在这里我们要说的是和性能测试有关的稳定性测试,即测试系统在一定负载下运行长时间后是否会发生问题。软件系统的有些问题是不能一下子就暴露出来的,或者说是需要时间积累才能达到能够度量的程度。为什么会需要这样的测试呢?因为有些软件的问题只有在运行一天或一个星期甚至更长的时间才会暴露。这种问题一般是程序占用资源却不能及时释放而引起的。比如,内存泄漏问题就是经过一段时间积累才会慢慢变得显着,在运行初期却很难检测出来;还有客户端和服务器在负载运行一段时间后,建立了大量的连接通路,却不能有效地复用或及时释放。
6.可恢复测试
测试系统能否快速地从错误状态中恢复到正常状态。比如,在一个配有负载均衡的系统中,主机承受了压力无法正常工作后,备份机是否能够快速地接管负载。可恢复测试通常结合压力测试一起来做。
提示:每种测试有其存在的空间和目的。当我们接手一个软件项目后,在有限的资源条件下,选择去做哪一种测试,这应该根据当前软件过程阶段和项目的本身特点来做选择。比如,在集成测试的时候要做基准测试,在软件产品每个发布点要做性能测试。
‘捌’ 新网站测试要测试哪些内容
主要看网站的服务内容了,侧重于用户交互还是内容提供。基本的检查点包括:
1.简单的性能测试,不要让用户感到明显的延迟。如果你的网站特别牛掰,预期用户增长很快,那可能要做专门和网站的性能测试。(参考反面教材火车订票)
2.基本的安全测试,有没有明显的漏洞,被人轻易窃取网站源代码和数据。(反面教材太多,不一一列举)
3.基本功能测试,用户注册,登录,改密,邮件通知,站内消息...这就太多了,看你网站功能了,尽量都走到。
4.网站链接检测,跳转检测,工具一大堆...
5.用户体验,颜色,布局,图片,互动,可以请同事或者种子用户一起内测。
‘玖’ 网站测试步骤
一个网站基本完工后,需要通过下面三步测试才可以交活。
一、 制作者测试,包括美工测试页面、程序员测试功能。在做完后第一时间内有制作者本人进行测试。
a) 页面包括首页、二级页面、三级页面的页面在各种常用分辨率下有无错位;图片上有没有错别字;各连接是否是死连接;各栏目图片与内容是否对应等
b) 功能达到客户要求;数据库连接正确;各个动态生成连接正确;传递参数格式、内容正确;试填测试内容没有报错;页面显示正确
二、全面测试根据交工标准和客户要求,由专人进行全面测试也是包括页面和程序两方面,而且要结合起来测,保证填充足够的内容后不会导致页面变形。另外要检查是否有错别字,文字内容是否有常识错误。
三、 发布测试 网站发布到主服务器之后的测试,主要是防止环境不同导致的错误。