【转】web常见安全问题以及测试方法

web安全是我们测试组一直以来作为和性能测试并驾齐驱的两个重点。开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。年底又到了,势必又有大批的发号抽奖之类的活动开发、上线,在这个过程中,安全问题是我们每个人应该紧绷的神经,对于我们测试人员来说,每个活动需要做到手动安全测试加自动化安全测试相结合。

  常见的web安全问题有:

  SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。

  对于手动安全测试来说,一般常用的有三点:

  1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;

  2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;

  3、在注重SQL注入的同时,一般在有输入框的地方输入

  对于自动化安全测试来说:

  测试组目前使用的安全测试工具IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)

  1、在使用之前务必确认自己绑定的Host;

  2、配置URL、开发环境、错误显示类型;

  3、结果保存后可根据提示的问题类型和解决建议进行分析。

  Web安全测试通常要考虑的测试点:

 

  1、输入的数据没有进行有效的控制和验证

  2、用户名和密码

  3、直接输入需要权限的网页地址可以访问

  4、认证和会话数据作为GET的一部分来发送

  5、隐藏域与CGI参数

  6、上传文件没有限制

  7、把数据验证寄希望于客户端的验证

  8、跨站脚本(XSS)

  9、注入式漏洞(SQL注入)

  10、不恰当的异常处理

  11、不安全的存储

  12、不安全的配置管理

 

  13、传输中的密码没有加密

  14、弱密码,默认密码

  15、缓冲区溢出

  16、拒绝服务

时间: 2024-10-27 17:37:34

【转】web常见安全问题以及测试方法的相关文章

【常见Web应用安全问题】---4、Directory traversal

Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些.  常见Web应用安全问题安全性问题的列表: 1.跨站脚本攻击(CSS or XSS, Cross Site Scripting) 2.SQL注入攻击(SQL injection) 3.远程命令执行(Code execution,个人觉得译成代码执行并不确切) 4.目录遍历(Directory traversal) 5.文件包含(File inclusion) 6.脚本代码暴露(Script sour

asp.net MVC 常见安全问题及解决方案

asp.net MVC 常见安全问题及解决方案 一.CSRF (Cross-site request forgery跨站请求伪造,也被称为"one click attack"或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用) 详细说明: http://imroot.diandian.com/post/2010-11-21/40031442584 Example :            在登陆状态下进入了攻击网站向安全站点发送了请求. Solut

牛腩学习----Web编程安全问题

对于web编程中,安全是一项时刻都要注意的问题.在敲击牛腩的时候遇到的防止sql注入,md5转换明文密码为暗文等操作都是应对web编程安全问题提出的. 为此从网上查阅一些关于web安全方面的资料,对一些web安全问题简单了解了一下. SQL注入 SQL注入是攻击者通过精心设计的提交数据,在服务器合成SQL语句时,失去了设计者的初衷,导致执行了错误的SQL语句. 最简单的用户验证如果采用简单的select语句:select userName from USER where userName=1 a

针对web系统的常用测试方法

针对web系统的常用测试方法如下: 1. 页面链接检查: 每一个链接是否都有对应的页面,并且页面之间切换正确.可以使用一些工具,如LinkBotPro.File-AIDCS.HTML Link Validater.Xenu等工具.LinkBotPro不支持中文,中文字符显示为乱码:HTML Link Validater只能测试以Html或者htm结尾的网页链接:Xenu无需安装,支持asp.do.jsp等结尾的网页,xenu测试链接包括内部链接和外部链接,在使用的时候应该注意,同时能够生成htm

开发PHP商城要注意的一些常见安全问题

相对于Java,C++,C#,Python等语言来说, PHP 在 商城方面有更大的优势,有开发效率高,框架选择多,可选择的开源产品多,可以大大减少开发成本和加快产品迭代,比如基于Thinkphp框架开发出的开源商城DSMall,DSHOP,DSKMS等等,基于此类产品开发可以大大加快开发速度,让项目迅速上线,同时Thinkphp框架可直接升级. 一般情况下我们在自己开发的过程中,需要注意PHP安全方面的知识,以下就说一下常见安全问题. 1.SQL 注入SQL 注入是常见网站最大的威胁之一,如果

Java web 常见对象的取值方法整理

一.从request中取值: 1.取param: servlet:  request.getParameter() request.getParameterValues() jsp脚本:request.getParameter() request.getParameterValues() jstl/el:  ${param.name} ${paramaValues.names[0]} struts ognl:<s:property value="#parameters.ParamName[

Web项目开发中常见安全问题及防范

计算机程序主要就是输入数据 经过处理之后 输出结果,安全问题由此产生,凡是有输入的地方都可能带来安全风险.根据输入的数据类型,Web应用主要有数值型.字符型.文件型. 要消除风险就要对输入的数据进行检查,对于Web应用来说,检查的位置主要是前端和后端.前端检查只能防止正常状况,没法防止通过工具.程序绕开前端检查直接把数据发送给后端. 输入检查 防止输入注入型攻击.所有的输入数据都要检查,除了前端检查外,为防止使用工具.程序绕开前端检查直接把数据发送给服务器,后端也要检查所有输入数据. 依据产品文

Web API 安全问题

目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication and Session Management) 3. 跨站脚本(Cross-Site Scripting (XSS)) 4. 直接引用非安全对象(Insecure Direct Object References) 5. 错误的安全配置(Security Misconfiguration) 6. 暴露敏感数据(Sensitive Data

web常见攻击

DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. 为了进一步认识DoS攻击,下面举个简单的栗子来进行说明:  图1 TCP三次握手:数据段互换 Client发送连接请求报文,Server接受连接后回复ACK报文,并为这次连接分配资源.Client接收到ACK报文后也向Server发送ACK报文,并分配资源,这样TCP连接就建立