软件测试2019:第五次作业
一、回答下述问题:
- 阐述常见的Web安全测试有几种类型?
需要考虑的情形:
(1)数据加密。某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登录密码、信用卡信息等。例如,在登录某银行网站时,该网站必须支持SSL协议,通过浏览器访问该网站时,地址栏的http变成https,建立https连接。这相当于在HTTR阳 TCP之间增加了一层加密——SSL协议。SSL是利用公开密钥/私有密钥的加密技术(RSA),建立用户与服务器之间的加密通信,确保所传递信息的安全性。数据加密的安全性还包括加密的算法、密钥的安全性。
(2)登录或身份验证。一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登录测试的时候,需要考虑输人的密码是否大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者件需要登录后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等,并区分公共访问和受限访问,受限访问的资源。
(3)输人验证。Web页面有很多表单提交,实际每个输入域都可能是一个潜在的风险,黑客可以利用文字输入框,将攻击性的脚本输人进去,提交给服务器处理,来攻击服务器、有时,也可以在输人域提交一些危害性的脚本,提交上去,隐含到某个页面上,如某个文件的下载链当另外一个用户单击链接时,就可以调用相应的脚本来读取该用户硬盘的数据或用户名/口令,发送出去,类似于木马病毒。所以,在进行Web安全性测试时,每个输人域都需要用标的机制验证,长度、数据类型等符合设定要求,不允许输人JavaScript代码,包括验证从数据中检索的数据、传递到组件或Web服务的参数等。
(4)SQL注入。从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取必要的数据库信息,然后基于这些信息,可以注人某些参数,绕过程序的保护,针对数据库服务器进行攻击。例如,在原有URL地址后面加一个恒成立的条件(如or 1=1或or user>0),这样、可以绕过系统的保护,对数据库进行操作。
(5)超时限制。Web应用系统一般会设定“超时”限制,当用户长时间(如15min)不做任何操作时,需要重新登录才能打开其他页面。会话(Session)的安全性还包括交换会话标识符、会话存储状态等的安全性。
(6)目录。Web的目录安全也是不容忽视的,如果Web程序或Web服务器的处理不适当,可以通过简单的URL替换和推测,使整个Web目录暴露出来,带来严重的安全隐患。可以采用某些方法将这种隐患降低到最小程度,如每个目录下都存在index.htm,以及严格设定Web服务器的目录访问权限。
(7)操作留痕。为了保证Web应用系统的安全性,日志文件是至关重要的,需要测试相关信息是否写进人了日志文件,是否可追踪。
常用类型:
跨站点攻击(Xcross-site Scripting,XSS)可以让攻击者在页面访问者的浏览器中执行JavaScript脚本,从而可以获得用户会话的安全信息、插入恶意的信息或者植入病毒等。按照注入的途径,一般分为三种
1.反射跨站点攻击(Reflected XSS)
2.存储跨站点攻击(Stored XSS)
3.基于DOM文档对象模型跨站点攻击(DOM-Based XSS)
二、安全测试工具调研
1. 概述
列出常见的安全测试工具,表如下:
|
序号 |
安全测试工具 |
商用 OR 免费 |
检测对象(二进制代码/源代码) |
简介 |
|
1 |
Metasploit |
开源免费 |
源代码 |
能够验证绝大多数的安全漏洞,还可以进行实际的入侵工作 |
|
2 |
Nessus |
个人用户免费、 商业用户收费 |
源代码 |
对本机或者其他可访问的服务器进行漏洞扫描 |
|
3 |
W3AF |
免费 |
源代码 |
web应用安全的攻击、审计平台 |
|
4 |
Paros proxy |
免费 |
源代码 |
基于Java的web代理程序,对web程序漏洞进行评估 |
|
5 |
WebScarab |
免费 |
源代码 |
用简单的形式记录它观察到的会话,允许操作员观察会话 |
|
6 |
Nikto |
免费 |
源代码 |
可以对web服务器多种项目进行全面测试 |
|
7 |
Wapiti |
免费 |
源代码 |
直接对网页进行扫描,用于Web应用程序漏洞扫描和安全检测 |
选择一个开源的安全测试工具,开展试用,写一个试用报告。报告内容 安全测试工具试用
1)记录完整的测试过程(工具安装、环境设置、测试过程、结果分析),包括脚本文件;
2) 提交安全测试报告,描述所做的测试、遇到的问题、结果分析等,要包括主要的测试运行截图。
1.安装Metasploit
需要关闭反病毒软件和防火墙
安装过程文件释放速度比较慢,硬盘负载比较高,运行前的准备时间较长。
转载于:https://www.cnblogs.com/xulu666/p/10910440.html
软件测试2019:第五次作业相关推荐
- 2019 第五周作业
2019春季第五周作业 这个作业属于哪个课程 C语言程序设计ll 这个作业要求在哪里 (https://edu.cnblogs.com/campus/zswxy/software-engineerin ...
- 人工智能实战2019 第五次作业 焦宇恒 16721088
标题 内容 这个作业属于哪个课程 人工智能实战2019 这个作业的要求在哪里 逻辑与非门 这个作业在哪个具体方面帮助我实现目标 神经网络二分类法 逻辑与门训练样本 X1 X2 Y 0 0 0 0 1 ...
- 软件测试2019:第二次作业
Junit是JAVA的一种单元测试方法,是Xunit的一部分,Xunit是一套基于测试驱动开发的测试框架,如果用C++语言,那么测试框架名称就叫做CppUnit,基于C#语言即.NET就称为NUnit ...
- 《软件测试》第五次作业
<构建执法>心得 本学期通过段炫宇老师的推荐与<软件测试>老师陈翠娟的教学,我阅读了<构建之法>. 整本书一开始写的是软件工程的发展史,从开始到应用,所经历的各 ...
- 学号20189220 2018-2019-2 《密码与安全新技术专题》第五周作业
学号20189220 2018-2019-2 <密码与安全新技术专题>第五周作业 课程:<密码与安全新技术专题> 班级: 1892 姓名: 余超 学号:20189220 上课教 ...
- 2022年秋季学期人工神经网络第五次作业
说明: 本次作业是针对这学期经典神经网络中的内容,主要涵盖竞争神经网络课程内容相关的算法. 完成作业可以使用你所熟悉的编程语言和平台,比如 C,C++.MATLAB.Python等. 作业要求链接: ...
- 计算机电路基础卡诺图,2019“计算机电路基础”作业.doc
2019"计算机电路基础"作业.doc 精品文档一.简答题(6小题)1.共射极放大电路如图1-1所示,已知,晶体管的电流放大系数 =50,欲满足,的要求,试问.的值应分别为多少? ...
- 2019 第十一周作业
2019 第十一周作业 这个作业属于哪个课程 C语言程序设计ll 这个作业要求在哪里 (https://edu.cnblogs.com/campus/zswxy/software-engineerin ...
- 《面向对象程序设计》c++第五次作业___calculator plus plus
c++第五次作业 Calculator plusplus 代码传送门 PS:这次作业仍然orz感谢一位同学与一位学长的windows帮助,同时再次吐槽作业对Mac系统用户的不友好.(没朋友千万别用Ma ...
- 2021年春季学期-信号与系统-第十五次作业参考答案-第十一小题参考答案
本文是 2021年春季学期-信号与系统-第十五次作业参考答案 中各小题的参考答案. §11 第十一小题 11.使用级联结构实现以下传递函数: ▓ 求解 (1)第一小题 X(z)=1−14z−1(1+1 ...
最新文章
- 国内 Java 开发者必备的两个神器:Maven国内镜像和Spring国内脚手架
- NodeJS入门--环境搭建 IntelliJ IDEA
- 4年级计算机 设计贺卡教案,四年级上册信息技术《小贝的贺卡》教学设计
- 5800对于存储卡密码设置问题
- 【Linux】25.ubuntu使用 nethogs 监测网络流量情况
- asp.core api 通过socket和服务器通信发送udp_【网络通信】TCP的通信过程
- BZOJ 2466 中山市选2009 树 高斯消元+暴力
- 计算机视觉实战(十一)Scale Invariant Feature Transform(SIFT)(附完整代码)
- winsock类型病毒后遗症处理
- payload sql注入_Web安全:SQL注入工具
- 基于SSH开发在线问卷调查系统
- Word 2003的基本使用
- 3.26 文字工具的使用 [原创Ps教程]
- 【贪玩巴斯】无线传感器网络(二)「无线传感器网络中物理层的五点详解」 2021-09-24
- 【Linux】你一定要知道的31种进程间信号
- 简单粗暴的动态气泡图
- Kubernetes K8S之资源控制器Job和CronJob详解
- HDU 2094 产生冠军
- js进阶实例,数字时钟
- java解析Excel