Selenium IDE 讓我們不寫程式就可以完成自動化 這篇文章主要說明不寫程式的方式完成自動化測試可以完成哪些事情? 藉由這篇文章破除一些迷思,說明Selenium IDE可以完成的自動化測試,舉例如下: E2E 的自動化測試透過工具的協助是可以在30分鐘內(甚至更短)完成一個測試情境 Selenium IDE 是可以跟 CI or Jenkins整合。透過Jenkins 指令啟動測試腳本。 Selenium IDE除了可以執行在 FireFox也可以啟動 IE, Chrome Selenium…
駭客如何用XSS讀取 Cookie?
駭客如何用XSS讀取 Cookie? 這篇文章主要透過一個比較完整的例子說明 XSS的攻擊過程。 為什麼駭客要做這樣的攻擊? 測試工具為何? 如何觀察? 防護的建議。 Reflected Cross-site Scripting (XSS) XSS 或是 JavaScript Injection 都是一般的通稱。 這邊要介紹的是 “Reflected” cross-site Scripting的…
ClickJacking(掛羊頭賣狗肉)的駭客攻擊方法
ClickJacking(掛羊頭賣狗肉)的駭客攻擊方法 這篇文章主要說明一種特別的攻擊方式ClickJacking, 駭客透過一個假的網頁誘導使用者輸入帳號密碼,但是實際上背後是銀行網站。 讓使用者在不知不決的狀況下就登入銀行網站。這樣的攻擊方式就稱為 ClickJacking。 但是如何測試或是知道網站是否會被受到這樣的攻擊呢? 如何防護? 這篇文章將說明這些議題。 ClickJacking攻擊原理 駭客通常利用網頁的 iFrame 將假造的網頁與正常的網頁載入,在透過 iframe visibility 的屬性設定, 將正常網站的網頁(如:銀行網頁)隱藏,讓使用者看到是一個假造的網頁(如:中獎通知) 當使用者輸入帳號密碼時,其實背後是登入實際的網站。駭客因此藉接獲取該銀行的帳號密碼與存取權限。 因此,要知道網站是否會收到這樣的攻擊,就必須測試網站是否可以在任意的 HTML iframe 被載入。…