【云知道】如何理解安全测试

关注云层天咨有助于升职加薪噢!
云 知道
比某知道更专业靠谱的知识分享平台关键词:认知web安全测试 不再懵安全测试话题很大,是一个带有深度且涉及范围很广的内容,但是可以先缩小一下范围,让更多的人能简单的去理解什么是web安全测试,这也是最基础的安全之一。
最常见的web应用攻击技术跨站脚本攻击跨站脚本攻击(cross-site scripting,XSS)
跨站脚本是一种安全攻击的手段,通常很容易被忽略,这种方式通过动态接口将特殊的参数信息发送至服务器,而服务器又将参数内容放入了动态页面中,这样的情况多出现于一些查询的功能页,为了保持每次操作时能保留之前的操作条件和数据,但这恰巧会被利用,来看一个例子,当然不要认为里面说的输入就是用键盘输入了,js随随便便就可以挡出去,一般都需要通过接口来实现这个过程。
当有一个数值的条件,用户输入10,并提交查询,那么此时html内容为:

<input name="price" value="10" />

但是如果提交内容为这样,那么就变向执行了js的代码,可以做的事情会变很多

<input name="price" value="10" /><script>alert(123)</script>

SQL注入攻击SQL注入攻击(SQL injection)
SQL注入这种攻击方式,虽然在预防上做起来并不难,但是一旦疏忽导致了问题,危害是极大的,攻击者可以获得他想得到的任何内部数据,甚至可以通过此类方式突破登录、权限等一些关键逻辑的控制。那么这里通过一个简单的例子来看下,原本只能查询单个id的数据,就变化成了可以查所有的数据。
先看一个正常数据的情况

Select * From datatable where id = ‘test‘

再来一个被攻击后的效果

Select * From datatable where id = ‘test‘ or ‘1‘=‘1‘

恶意文件上传文件上传,顾名思义,就是一些网站会支持上传文件的功能,比如常见的就是图片,还有其他一些常见的文件类型,很多人认为这很简单啊,文件都有后缀名,判断一下即可,殊不知后缀名也是人家随便决定的,想写什么都可以,然后新的办法出现了,上传时协议中还会有MIME类型,大多web服务都可以配置允许通过的MIME类型,或者可以自行判断筛选MIME类型,便做到了防护的作用,可惜,MIME也是可伪造的,只是相对后缀名来说修改不是那么容易,需要通过修改接口数据来做,基本没有工具可以直接自动的检测该问题。

如有想知道如何应对恶意文件的上传,记得回复哦,我们将在后面的专题中见分晓。
end当然总体来说世界上不存在绝对安全的事物,不仅仅是计算机,任何人类活动中都潜伏着危险因素。我们只能说是尽可能的避免安全问题,甚至是预防可能发生的问题。
云知道专业知识分享平台你有问题吗? 可以在云知道专题里直接留言哦,如被选中,将会是下一期的问答内容,将会由专业高手来进行解答,多次被选中者还将获得云层天咨提供的礼品一份,记得多关注哦~
全栈测试聚集地测试学习 | 测试交流 | 测试招聘  
公众号回复专栏名或数字“2”即可浏览往期内容哦

时间: 2024-10-14 18:09:47

【云知道】如何理解安全测试的相关文章

【新书推荐】《ASP.NET Core微服务实战:在云环境中开发、测试和部署跨平台服务》 带你走近微服务开发

<ASP.NET Core 微服务实战>译者序:https://blog.jijiechen.com/post/aspnetcore-microservices-preface-by-translator/ "微服务"的概念在 2014 年正式提出之后,越来越多的团队开始用它来设计自己的业务系统,各种微服务框架和开发过程管理方法也同时兴起.不断成熟.微服务设计方法清晰地定义了各个开发团队的业务边界,微服务框架以不同的方式实现了服务之间的协作与集成,根据康威定律我们可以推导这

【华为云技术分享】【测试微课堂】DevOps敏捷测试之道

本文介绍企业在敏捷和DevOps的逐步转型过程中,测试如何应对挑战,有的放矢进行测试,建立适合产品自身发展阶段.产品特点的敏捷测试能力. 敏捷和DevOps敏捷和DevOps转型始终是被业务目标和客户需求驱动的.市场竞争环境越来越激烈,新商业模式的创新和变现时间窗口越来越短,催生更多的企业采取精益创业的方式,捕捉市场需求后,尽量缩短TTM产品面世时间,快速推出MVP产品并快速响应客户需求迭代产品. 以华为为例,在2008年左右的时候,华为的项目还是采用传统的交付方式,例如在年初开始一个项目,在项

我对云存储的理解

最简单的就是网盘:DropBox, Google Drive等等 其次是某种稳定的网络存储形式:Evernote,Instagram这样的专业软件数不胜数,主要是存储和分享最简单云计算服务:Google Docs,既提供了存储功能,也提供了编辑功能(这里的编辑其实就是计算)IaaS对云存储的理解:就是提供基础的弹性计算服务而已SaaS对云存储的理解:多姿多彩,几乎每种格式的文件,都可以单独成为一个SaaSAmazon的弹性计算云(Elastic Compute Cloud, EC2)P2P也是一

国内5家云服务厂商 HTTPS 安全性测试横向对比

随着 Chrome.Firefox 等浏览器对 HTTPS 的重视,国内众多云服务厂商都相继提供 SSL 证书申购服务,但是大家有没有注意到一个细节,不同厂家申请的 SSL 证书,由于证书性能.功能差异的原因,开启 HTTPS 后的安全性并不相同. 其中影响 HTTPS 安全度,关键的一项是 HSTS,它可以在用户首次访问网站后,默认优先访问 HTTPS,只要访问过 HTTPS,之后访问该网站就不用担心被挟持了. 正是因为 HTTPS 存在这些细微差异,让我选择了国内5家云服务厂商的 SSL 证

阿里云主机SSD实例磁盘测试及IO调度算法调整

测试背景及环境说明 阿里云ECS 主机配置: 4C8G [email protected]:~# grep -i "model name" /proc/cpuinfo model name : Intel(R) Xeon(R) CPU E5-2650 v2 @ 2.60GHz model name : Intel(R) Xeon(R) CPU E5-2650 v2 @ 2.60GHz model name : Intel(R) Xeon(R) CPU E5-2650 v2 @ 2.60

[有码有真相]python类私有属性等要点理解及测试示例代码

# encoding: utf-8 ''' 1. python约定类定义中"__"开头(至多一个"_"结尾)的属性为"相对"的私有属性 2. 私有属性在类及其子类定义中是"可见"的,在 其它范围正常访问是相对"不可见"的 3. 留下子类可以修改父类私有属性的口子方便debug测试等 4. 在类定义以外可以通过['_'+className+'私有属性名称']名称访问 5. 私有属性引入是避免类,实例等混淆和冲

华为软件开发云测评报告三:测试管理

往期文章: 华为软件开发云测评报告一:项目管理 华为软件开发云测评报告二:代码检查 体验环境 体验方式:PC端 系统:Windows 64位 浏览器类型:Chrome浏览器 浏览器版本:58.0.3029.110 体验时间:2017.07.06 分析目的 了解华为软件开发云的测试管理服务功能,分析其优缺点: 自动化测试工具未来的发展趋势: 产品简介 产品名称:华为软件开发云 定位:华为软件开发云(DevCloud)是集华为研发实践.前沿研发理念.先进研发工具为一体的研发云平台,面向开发者提供研发

云测试——是祸?是福?

Rajesh Mathur是香港航空公司——国泰航空的测试交付经理.他管理航线运营和货物域下多个项目的测试.有着16年以上的软件测试经验,Rajesh曾在美国.英国.印度和中国香港等地居住过并在那儿建立了自己的事业,他担任过许多知名度很高的耗资百万美元的项目的测试员.测试负责人.测试经理.程序经理以及测试交付经理.在他的职业生涯中,他在测试舞台活跃了很长一段时间,并通过训练.指导.参与研讨会,积极地巩固测试社区和软件测试的实际操作.Rajesh拥有学位.文凭和证书,包括:物理和数学的理学士学位:

转: 测试云服务器的工具相关

from: http://cloud.51cto.com/art/201611/520693.htm 首份云计算产品评测曝光,腾讯云.阿里云到底谁更高一筹? 阿里云作为名副其实的国内业界第一,名声非常大,不过最近IT之家的事闹出来之后,我有点庆幸最终没有选择它.腾讯云算是业界老二,而且有着腾讯这个强大的靠山,云服务产品的种类和质量都不错. 作者:佚名来源:科技新视觉|2016-11-07 16:26 收藏 分享 大约一年前,我在某国外云厂商上部署了自己的第一个网站,从此成为一名云计算用户.由于国