
安全测试是测试工程师进阶必备能力日常功能测试中必须带入基础安全思维提前发现高危漏洞。本文从零讲解SQL注入、XSS跨站脚本两大高频漏洞原理、测试方法、漏洞危害、实操测试步骤。一、SQL 注入漏洞测试1. 漏洞原理前端输入未做过滤直接拼接到SQL语句执行导致攻击者可伪造SQL语句查询、篡改、删除数据库数据。2. 常见注入点登录框、搜索框、参数传参、URL参数、查询条件。3. 测试Payload直接可用万能密码 or 11 -- -闭合测试 、 、 ) 观察页面报错与返回差异4. 危害越权登录、泄露所有数据、拖库、删库、篡改数据。5. 修复方案参数预编译、SQL语句参数化、输入过滤、特殊字符转义。二、XSS 跨站脚本漏洞1. 漏洞原理页面未过滤用户输入恶意JS脚本可存入页面其他用户访问页面时脚本自动执行。2. 分类存储型XSS存入数据库危害最大、反射型XSS临时触发。3. 测试Payloadscriptalert(1)/script4. 危害盗取Cookie、劫持用户登录、钓鱼跳转、恶意弹窗、窃取用户信息。5. 修复方案输入过滤、输出转义、CSP策略、禁止未信任脚本执行。三、日常测试落地建议所有输入框、所有请求参数都需要带入基础安全测试思维常规功能测试同步覆盖基础安全场景。