如何做好Web 安全测试
安全测试通常要考虑的测试点
更多学习资料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
1,
问题:没有被验证的输入
测试方法:
数据类型(字符串,整型,实数,等)
允许的字符集
最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值(枚举型)
特定的模式(正则表达式)
2,
问题:有问题的访问控制
测试方法:
主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址
例:从一个页面链到另一个页面的间隙可以看到URL地址
直接输入该地址,可以看到自己没有权限的页面信息,
3 错误的认证和会话管理
例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来
4,缓冲区溢出
没有加密关键数据
例:view-source:http地址可以查看源代码
在页面输入密码,页面显示的是 *****, 右键,查看源文件就可以看见刚才输入的密码,
5,拒绝服务
分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。需要做负载均衡来对付。
更多学习资料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
6,不安全的配置管理
分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护
程序员应该作的: 配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报。
分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码。
7,注入式漏洞。
例:一个验证用户登陆的页面,
如果使用的sql语句为:
Select * from table A where username=’’ + username+’’ and pass word …..
Sql 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击
8,不恰当的异常处理
分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞,
9,不安全的存储
分析:帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。
浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST,
10 问题:跨站脚本(XSS)
分析:攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料
测试方法:
? HTML标签:<…>…</…>
? 转义字符:&(&);<(<);>(>); (空格) ;
? 脚本语言:
<script language=‘javascript’>
…Alert(‘’)
</script>
? 特殊字符:‘ ’ < > /
? 最小和最大的长度
? 是否允许空输入
更多学习资料
https://edu.csdn.net/course/detail/25768
https://edu.csdn.net/course/detail/22948
如何做好Web 安全测试相关推荐
- AppScan系列——web安全测试---AppScan扫描工具
转自:http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html [注,我共享一个appscan9.0的百度网盘下载链接:http://pa ...
- 360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法
360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法 如何做好网站的安全性测试 360网站安全检测 - 在线安全检测,网站漏洞修复,网站后门检测 http://websc ...
- 免费的系统压力测试方法/工具有哪些?企业如何做好软件压力测试
对于很多企业测试人员来说,在做软件压力测试工作时,压力测试方法/工具不在乎多与少,而在于是否能够满足自己的产品检测需求,能够派上用处的压力测试工具就是好工具.那么好用的压力测试方法/工具有哪些,企业如 ...
- 常规web渗透测试漏洞描述及修复建议
1.Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作 修复建议 1.删除样例文件 2.对apache中web.xml进行 ...
- 第八章 Web项目测试(此章完结)
3.图形测试 是Web系统显示信息中最为常见的一种手段,图形测试也可以理解为UI测试,如图片.动画.颜色.背景.字体.按钮等通常可以从以下几点关注: 1)检查图形的标准规范(Web界面的图形要符号现行 ...
- web安全测试---AppScan扫描工具详解和测试方法说明
web安全测试---AppScan扫描工具 安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉. 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意.不管是开发还是测试都不太关注产品的 ...
- Web安全性测试—SQL注入
Web安全性测试-SQL注入 因为要对网站安全性进行测试,所以,学习了一些sql注入的知识. 在网上看一些sql注入的东东,于是想到了对网站的输入框进行一些测试,本来是想在输入框中输入<scri ...
- python的web压力测试工具-pylot安装使用
pylot是python编写的一款web压力测试工具.使用比较简单.而且测试结果相对稳定. 这里不得不鄙视一下apache 的ab测试,那结果真是让人蛋疼,同样的url,测试结果飘忽不定,看得人心惊肉 ...
- java web项目测试_java web项目怎么测试?
慕仰1329654 java web项目测试用Web的测试工具,如HtmlUnit,JWebUnit等.main()方法就可以测试,在main方法中获得connection对象将他输出就可以了.如果正 ...
最新文章
- python程序员招聘信息-IT行业程序员招聘分析
- Android Toolbar Padding
- ORA-28001: the password has expired
- es java match_ES multi_match 和match查询
- DataTransmission:免费薅羊毛,Are you kidding me? 镭速传输 “百日计划”提前大曝光!Raysync传输协议要开放?
- iOS开发(9)UISlider
- MySQL常用语句一、连接MySQL格式:mysql-h主机地址-u用户名-p用户密
- sql server 2008 年累计数_MySQL高阶问题:server层和存储引擎层是如何交互的?
- Android之网络请求提示Cleartext HTTP traffic to dev*******.com not permitted
- Android中列表框纵向布局,andriod布局常用控件属性..docx
- atoi java,leetcode题目8: 字符串转换整数 (atoi)(java)
- 西安高铁“洋班组” 助力新春运
- Java Thread.yield详解
- Anaconda spyder下载第三方包
- 论文排版一步搞定之公式——(公式居中,编号居右)
- C# 图片识别技术(支持21种语言,提取图片中的文字)
- Python学习笔记 使用matplotlib创建Gif动图
- 视频,图像,像素,分辨率,RGB, YUV简单说明
- 进口吲哚菁绿活化脂,ICG-NHS ester,Indocyanine Green - Activated Lipid
- 制作服装推广软文html,服装行业软文怎么写,公众号服装分销软文推广!
热门文章
- 多个 vCenter Server 实例部署的升级或迁移顺序以及混合版本转换行为
- MyBatis学习总结(27)——Mybatis-Plus使用小技巧
- Docker学习总结(39)——简析容器、无服务器和虚拟机的安全性差异
- JAVA程序员面试总结,高手整理加强版
- MyBatis学习总结(21)——自定义MyBatis Generator插件
- Spring MVC学习总结(7)——Spring MVC整合Ehcache缓存框架
- Java Web学习总结(3)——Servlet详解
- 简述导线平差计算的五个步骤_RTK技术导线测量和全站仪导线测量有什么区别?...
- discuz 服务器维护,论坛服务器经常宕机 - Discuz!-安装使用 - Discuz! 官方站 - Powered by Discuz!...
- .NET 3.5(11) - DLINQ(LINQ to SQL)之大数据量分页、延迟执行和日志记录