5598.html

使ってていろいろ気をつけたいことのメモ
随時更新。

とりあえず時間がかかるので範囲はできるだけ絞ってこまめ目に実施すべし
SpiderはJSが解釈できないので当てにならない
手動で全パラメータがサーバーに飛ぶようなケースを教えてあげる必要あり(自分でHTMLをパースしてパラメータを類推したりすることはないっぽい)
Analyze -> Scan Policy で、今回はSQL Injectionのみ、のようにチェックする内容を制限することで範囲を絞るべし
今回はトップの検索だけ、とかのようにテスト対象のコンテンツも絞るべし
JavaScriptとか、画像とかCSSとかに対してもSQL Injectionなどをテストしてしまう。無駄なので、これらも「Purge(from DB)」で削除しておくべし
/?xxx=bbb のようなページはなぜかscan対象にしてくれない。なぜだろう。 /xxx?yyy=zzz のように一時的にでもURLを変更すべし
バグ修正、未開発などもなくしておく
パフォーマンスチューニングした後にやった方がいい

回線が切断されたりしないこと。切断されると、すべて完了しました、みたいに出て終了してしまう
開発をとめておくこと。開発の影響でエラーがでるとscanの結果がおかしくなる
同様にDBデータの再構築などもできない。
一回テスト完了後、Scan Policyを変えたり、ファイルをOpenで読み直したり、別ファイルに保存しなおしたりして、再度テストを実施しても、何も起きない。Parosを再起動し、新しくセッションを作り直すところからやると、テストしてくれるみたい。意味不明。
フォームでファイルアップロードやると、遅くなる。上げるなら軽いファイルを上げるようにしたい。
メールが配信されるような場所をテストする場合、関係者にメールが飛びまくる場合があるので注意