QA老司机应该知道的事情--绕开前端校验

  最近在测试过程中和前端同学一起调试前端问题时，发现前端同学成功绕过了前端的校验，把不符合校验规则的数据提交到了后台。

  惊讶之余，引发了我的深思，如果后端没校验，那我们的系统岂不是在裸奔！！并到网上找了相关绕开前端校验的方法供大家学习。

2、目的

 1）提高大家安全测试意识

 2）发现产品和开发的设计缺陷--只有前端校验，没有后端校验

 3）通过上面两点，提高我们系统质量，规避风险。

3、绕开前端校验的方法

 1）查看源码，修改输入框、下拉框等元素的限制参数。

   例如：把 [ disabled =" disabled " ]删除后，本来不可选的下拉框就能可选。

 

 2）找到真正控制提交的函数，以及需要提交的数据，通过控制台内修改相应参数，调用相应函数。

   例如：下面截图的调用方式：

 

 3）通过工具（Fiddler、postman等）拦截修改HTTP请求、或伪造请求

   例如：某系统的登录系统未做后端校验

   

 4）在浏览器地址栏中直接输入请求URL及参数

   例如：获取商品后台品牌列表接口

   

 5）如果是js脚本校验，有以下几种方法可以绕开。

   ◆ 源码中可直接删除js代码

   ◆ 将引入的js后缀名更换成任意名字

   ◆ 利用工具（例如：fiddler）在本地替换掉js，使用自己修改过后的js