DFX 安全测试-- 告诉你什么是XSS、sql注入?POST和GET的区别....
1、用户权限测试
(1) 用户权限控制
1) 用户权限控制主要是对一些有权限控制的功能进行验证
2) 用户A才能进行的操作,B是否能够进行操作(可通过窜session,将在下面介绍)
3)只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)
(2) 页面权限控制
1) 必须有登陆权限的页面,是否能够在不登陆情况下进行访问
2)必须经过A——B——C的页面,是否能够直接由A——C?
2、URL安全测试
(1)适用范围: URL中含有参数,也就是通过GET方式传递的HTTP请求
(2)什么叫GET方式?
HTTP 定义了与服务器交互的不同方法,最基本的方法是 GET 和 POST。
GET方式在客户端通过URL提交数据,数据在URL中可以看到,例如在日常中订购服务:
http://www.cnblogs.com/javame/index.htm?servId=2
POST方式,数据放置在HTML HEADER内提交,数据在URL中看不到
GET只能传输比较少的数据,安全性较低,POST传输数据较多,安全性也比GET高
(3)测试关注点:
1) URL 参数检查:
A: 对URL中参数信息检查是否正确
如:URL中的订单号、金额允许显示出来的话,需要验证其是否正确
B: 对于一些重要的参数信息,不应该在URL中显示出来
如:用户登陆时登录名、密码是否被显示出来了 ,
2) URL参数值篡改
修改URL中的数据,看程序是否能识别:
如:对于以下URL,修改其中planId,看是程序是否可以识别:
http://www.cnblogs.com/javame/index.htm?planId=878
又如:对于URL中包含金额参数的,修改金额看是否能够提交成功(可能导致用户把2元金额改成1元金额能提交),还有修改订单号等重要信息看是否会报错
3) URL中参数修改进行XSS注入:
什么是XSS?
XSS的全称是Cross Site Script(跨站点脚本)
XSS的原理很简单,即进行脚本注入,URL执行时即把此脚本进行了执行,一般都是JavaScript脚本。
如“http://www.cnblogs.com/javame/index.asp?IDClass=2&ClassName=abc”
改成“http://www.cnblogs.com/javame/index.asp?IDClass=2&ClassName=abc<script>alert("hello");</script>”
看看有没弹出对话框显示hello,有的话就有跨站漏洞。
在URL中进行XSS注入,也就是把URL中的参数改成JS脚本。
4) URL参数中进行SQL 注入
什么是SQL注入?
SQL注入全称是SQL Injection ,当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击,如查询、插入数据时。
测试方法: URL中写入SQL注入语句,看是否被执行
如:www.cnblogs.com/javame这个网站中,选择登陆
设置用户名为 admin ' or '1'='1 密码为任意数字 ,点击登录就可以登陆。
一般情况下要进行SQL注入攻击,需要对数据库类型、表名、判断逻辑、查询语句等比较清楚才能够写出有效的SQL注入语句。
3、表单提交安全测试
适用范围:有表单提交的地方、有HTTP请求的地方(包括GET、POST请求)
测试关注点:
1) 表单中注入XSS脚本
什么是XSS?这已在上一节中说明。URL中需要检测XSS注入,表单中更需要验证
测试方法:即在表单填写框中直接注入JS脚本
如在表单中输入XSS脚本,程序是不应该让脚本执行的
2) 表单中注入SQL 脚本
与URL中参数进行SQL注入类似,就是在表单中写入SQL注入脚本提交看是否会有问题
4、Session测试
(1)Session是客户端与服务器端建立的会话,总是放在服务器上的,服务器会为每次会话建立一个sessionId,每个客户会跟一个sessionID对应。
并不是关闭浏览器就结束了本次会话,通常是用户执行“退出”操作或者会话超时时才会结束。
(2)测试关注点:
1)Session互窜
Session互窜即是用户A的操作被用户B执行了。
验证Session互窜,其原理还是基于权限控制,如某笔订单只能是A进行操作,或者只能是A才能看到的页面,但是B的session窜进来却能够获得A的订单详情等。
Session互窜方法:
多TAB浏览器,在两个TAB页中都保留的是用户A的session记录,然后在其中一个TAB页执行退出操作,登陆用户B,此时两个TAB页都是B的session,然后在另一个A的页面执行操作,查看是否能成功。预期结果:有权限控制的操作,B不能执行A页面的操作,应该报错,没有权限控制的操作,B执行了A页面操作后,数据记录是B的而不是A的。
2)Session超时
基于Session原理,需要验证系统session是否有超时机制,还需要验证session超时后功能是否还能继续走下去。
测试方法:
1、打开一个页面,等着10分钟session超时时间到了,然后对页面进行操作,查看效果。
2、多TAB浏览器,在两个TAB页中都保留的是用户A的session记录,然后在其中一个TAB页执行退出操作,马上在另外一个页面进行要验证的操作,查看是能继续到下一步还是到登录页面。
转载于:https://www.cnblogs.com/Javame/p/3566495.html
DFX 安全测试-- 告诉你什么是XSS、sql注入?POST和GET的区别....相关推荐
- xss sql注入 php,利用xss 执行sql注入
看见phpcms v9.1.15爆的xss和无权限的sql注入,于是就想测试下利用xss执行sql注入,虽然爆的这个phpcms漏洞还有很多其他的用法!但是,这个注入我没有找到phpcms v9.1. ...
- CSRF, XSS, Sql注入原理和处理方案
CSRF 含义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写 ...
- php爆路径与sql注入,人人网游戏XSS+SQL注入+爆路径+列目录,员工信息大量泄漏
XSS偷取cookies,还有注入,权限蛮大的哦,能直接load_file('/etc/passwd') 目测拿下wan.renren.com http://wan.renren.com/servic ...
- 【渗透测试案例】——Web前端的SQL注入是怎么回事?
目录 写在前面 1. 网站分析 2. 初步探测 3. 注入sql测试 4.获取查询长度
- (超详细)XSS和SQL注入-网络渗透测试实验三
文章目录 前言 实验目的 系统环境 网络环境 实验工具 XSS部分:利用Beef劫持被攻击者客户端浏览器. 实验环境搭建. 环境搭建参考网站 搭建IIS时踩的坑: 1.利用AWVS扫描留言簿网站,发现 ...
- 网络渗透测试实验三——XSS和SQL注入
网络渗透测试实验三--XSS和SQL注入 实验目的 了解什么是XSS:了解XSS攻击实施,理解防御XSS攻击的方法:了解SQL注入的基本原理:掌握PHP脚本访问MySQL数据库的基本方法:掌握程序设计 ...
- 测试吃鸡游戏帧数软件,高频内存吃鸡、CSGO帧数提高多少?这一测试告诉你
高频内存吃鸡.CSGO帧数提高多少?这一测试告诉你 2020-03-12 14:06:29 8点赞 8收藏 11评论 前言 我先前时候工作机用的是在性价比领域广为人知的Klevv科赋,当然那会儿是去年 ...
- 360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法
360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法 如何做好网站的安全性测试 360网站安全检测 - 在线安全检测,网站漏洞修复,网站后门检测 http://websc ...
- 万字讲解9种Web应用攻击与防护安全。XSS、CSRF、SQL注入等是如何实现的
OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的.非盈利的全球性安全组织,致力于应用软件的安全研究.使命 是使应用软件更 ...
最新文章
- 避免在Swift Struct中使用闭包
- 门限的限意思是什么_门限是什么意思_门限英文翻译
- es6 取数组的第一个和最后一个_ES6:解构——JavaScript 从数组和对象中提取数据的优雅方法...
- 什么是 DMZ 区?
- 给Sublime Text2安装GraphQL语法高亮插件
- CCNP-第五篇-OSPF高级版(二)
- 《黃帝內經 —— 央視60集紀錄片》
- Bootstrap按钮的外观
- 微信小程序实战 购物车功能
- linux 运行springboot 项目 (后台运行,并且打印实时日志)
- springboot的if else过多解决方案
- 遥感数据下载平台汇总
- vuejs登陆页面_20个最佳Vuejs登陆页面模板
- 简单粗暴理解【阿姆达尔定律】
- m3u8转换到mp4 python_如何把m3u8格式转换成mp4格式?
- android 里面的颜色的RGB
- matlab中m文件是什么,MATLAB中M文件的使用
- 浅谈javascript面向对象理解
- 小程序 rich-text 修改图片和文字样式
- 如何提高深度学习预测准确率