web 安全是我們 測試 組一直以來作為和 效能測試 並駕齊驅的兩個重點。開發的過程中還需要著重注意,該轉義的地方轉義;該遮蔽的地方遮蔽,該過濾的地方過濾等等。年底又到了,勢必又有大批的發號**之類的活動開發、上線,在這個過程中,安全問題是我們每個人應該緊繃的神經,對於我們測試人員來說,每個活動需要做到手動 安全測試 加自動化安全測試相結合。
常見的web安全問題有:
sql 注入、跨站點指令碼攻擊、跨站點偽造請求、目錄遍歷、郵件表頭注入、頁面錯誤資訊等。
對於手動安全測試來說,一般常用的有三點:
1、url有引數的,手動修改引數,看是否得到其他使用者的資訊和相關頁面;
2、在登入輸入框的地方輸入『 or 1=1--或 「 or 1=1--等看是否有sql注入;
3、在注重sql注入的同時,一般在有輸入框的地方輸入
對於自動化安全測試來說:
測試組目前使用的安全測試工具為 ibm 的appscan(當然,是破解版,34上已經放過該工具的安裝包)
1、在使用之前務必確認自己繫結的host;
2、配置url、開發環境、錯誤顯示型別;
3、結果儲存後可根據提示的問題型別和解決建議進行分析。
web安全測試通常要考慮的測試點:
1、輸入的資料沒有進行有效的控制和驗證
2、使用者名稱和密碼
3、直接輸入需要許可權的網頁位址可以訪問
4、認證和會話資料作為get的一部分來傳送
5、隱藏域與cgi引數
6、上傳檔案沒有限制
7、把資料驗證寄希望於客戶端的驗證
8、跨站指令碼(xss)
9、注入式漏洞(sql注入)
10、不恰當的異常處理
11、不安全的儲存
12、不安全的 配置管理
13、傳輸中的密碼沒有加密
14、弱密碼,預設密碼
15、緩衝區溢位
16、拒絕服務
web安全問題彙總
web 安全問題總結 一,資料庫安全性 1,mssql資料庫安全性 l web中不允許使用sa級的使用者連線資料庫 解決方法 2,access資料庫安全性 解決方法 u 第一步 新建乙個表。u 第二步 在表中建乙個字段,名稱隨意,型別是ole物件,然後用asp 向字段中新增一條記錄寫入單位元組的 為...
web安全問題 csrf
1.原理 使用者登入a a 確認身份 b 向a 發起請求 帶a 身份 cookie會保留在網頁中 2.csrf攻擊危害 www.a.com前端 www.a.com後端 www.b.com前端 www.a.com後端 b 向a 請求帶a cookies 不訪問a 前端 refer為b 1.cookie...
常見Web安全問題記錄與總結
xss cross site script 跨站指令碼攻擊。xss 的原理是惡意攻擊者往 web 頁面裡插入惡意可執行網頁指令碼 當使用者瀏覽該頁之時,嵌入其中 web 裡面的指令碼 會被執行,從而可以達到攻擊者盜取使用者資訊或其他侵犯使用者安全隱私的目的。xss 的攻擊方式千變萬化,但還是可以大致...