当前位置:首页 > 天道酬勤 > 正文内容

web程序设计知识点(学业水平测试历史知识点)

张世龙2021年12月20日 18:13天道酬勤780

随着互联网的迅速发展,网络APP在软件开发中,dddxg变得越来越重要。 另一方面,web APP受到了特别多的安全攻击。 其理由是,在当前网站和网站上运行的APP在某种意义上说是所有公司和组织的虚拟正门,因此容易受到攻击,存在安全隐患。

今天我主要给大家看一下安全测试的相关知识点和注意事项。

一、安全测试验证要点

一个系统的安全检查点包括上传功能、注册功能/登录功能、验证码功能、密码、机密信息泄露、越权测试、错误消息、会话等。

1、上传功能

上传中断了。 程序在判断上传是否成功了扩展名与服务器端语言(jsp/asp/php )相同的文件或exe等可执行文件后,确认是否可以在服务器端直接执行。 2、注册功能/登录功能

要求安全传输重要的重复注册/登录cookie是否在httponly会话中固定:利用session不变的机制,获得他人的认证和授权,冒充3、验证码功能

短信轰炸验证码一次性4、忘记密码

用手机号码/邮箱地址进行程序设计不合理,绕过短信验证码修改(用burpsuite抓包,修改响应值true ) 5、泄露机密信息

数据库/日志/提示6,越权测试

可以不登录系统而直接输入下载文件的URL /可以直接输入登录后的页面的URL、可以手动更改的URL的参数值、可以访问没有访问权限的页面

绝对路径8 (包括sql语句、错误消息和web服务器)的会话将被释放到错误消息中

注销后,单击“上一步”按钮是否可以访问上一页主要总结如下: (

部署和基础架构输入认证认证授权配置管理机密数据会话管理加密参数操作异常管理鉴定和日志安全,二是结合实际情况(现有系统)发现的问题

1、日志/提示

系统初期,一般容易发现的问题是,在进行一些错误或逆向测试时,页面提示会出现带有明显数据库的表或字段的打印,或者出现密码、卡号、身份证号等敏感词。 如果这些敏感词/密文不相互转换,攻击者就无法获得,容易进行粗暴的攻击,或者容易攻击服务器和数据库,从而危害整个系统

2、再现性

大多数网站都有注册功能,但即使我们负责付款,也会开设账户。 注册和开户基本上需要唯一性检查,在前端被阻止,但是使用jmter添加参数和参数值可能会成功添加,页面系统中显示相同的数据,整个功能可能会错误

3、次数限制

如果没有进行适当的限制(如邮件、登录和短信),如果没有限制次数,攻击者将通过短信轰炸或攻击系统,从而导致系统崩溃,其他客户无法使用该系统。

4、越权测试

(大多数系统没有明确写入越权的相关需求。 )在web系统中,一般在地址栏中有参数带入。 例如,用户号码、订单号码或其他参数,但基于此在一个系统中有很多用户。 或者,在很多级别,例如a大于b大于c的情况下,我使用c用户登录,查看c用户所属的订单编号的参数。 如果系统没有进行适当的限制,此时c用户可以修改订单号码,查看b乃至a用户的数据,这有可能导致数据的泄露。 另外,修改用户的用户号码,如果不进行处理,可以对所有数据进行操作,系统整体会混乱,影响很大。

l-align-justify">5、SQL注入/XSS攻击

主要是输入框的校验/拦截以及是否转义,如果没有系统没有对输入的内容进行处理,那攻击者就可以输入一段SQL语句,或者一段代码,在后台进入到相应的功能,就会导致整个功能是错乱的,其他正常用户所提交的数据也查看操作不了,或者提交的代码是死循环(">),就会关闭不掉,所以这点是非常重要的。

基本上上述的五点都是在测试中,系统真实存在,发生的问题,还有其他问题就不一一例举了,其中越权跟SQL注入以及XSS攻击都是重中之重!

三、克服的小困难

上面所述的都是需要人工进行手动参与,且人力操作时不会那么饱满全面,所以这是一个遇到的小问题。现在有一个针对web系统进行漏洞扫描的工具:AWVS,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,针对漏洞主要分为四个等级:高危、中危,低危以及优化,它会进行内外链接的安全性,文件是否存在以及传输是否安全,也包含SQL注入跟XSS攻击,输入地址,用户名密码后,进行扫描完成后会展示相应的数据:漏洞的数量,漏洞的描述,建议性的修复;扫描网站的时长,文件数据量,环境信息等,较为全面!

四、安全测试的思路跟框架

主要根据以下六点来实现一个较为完整的安全测试的思路,框架就是根据半手工、半自动来实现整个系统的验证。

部署与基础结构输入验证/身份验证(权限验证)敏感数据参数操作审核和日志安全;

五、目前存在的问题/需要优化的

现在的安全测试大多是半手工、半自动化,但都不是专业级,所以还在摸索阶段,只能尽可能地去发现系统中存在的漏洞,且测试理论很难适用于安全领域;

安全测试基础理论薄弱,当前测试方法缺少理论指导,也缺乏更多的技术产品工具 ;

安全测试需要对系统所采用的技术以及系统的架构等进行分析,这方面也是较为薄弱的环节!

天下数据Web应用防火墙(云WAF)是基于 AI 引擎的一站式 Web 业务运营风险防护方案,帮助用户应对网站入侵,漏洞利用,挂马,篡改,后门,爬虫Bot,域名劫持等安全问题,为组织网站及Web业务安全运营保驾护航。详询天下数据客服

扫描二维码推送至手机访问。

版权声明:本文由花开半夏のブログ发布,如需转载请注明出处。

本文链接:https://www.zhangshilong.cn/work/25793.html

分享给朋友:

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。