常见的web安全性测 试点

常见的web安全性测 试点

ID:44791200

大小:26.49 KB

页数:9页

时间:2019-10-29

常见的web安全性测 试点_第1页
常见的web安全性测 试点_第2页
常见的web安全性测 试点_第3页
常见的web安全性测 试点_第4页
常见的web安全性测 试点_第5页
资源描述:

《常见的web安全性测 试点》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、常见的web安全性测试重点1.XSS(CrossSiteScript)跨站脚本攻击  XSS(CrossSiteScript)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达  到恶意用户的特殊目的。  测试方法:   在数据输入界面,添加记录输入:,添加成功如果弹出对话框,表明此处存在一个XSS 漏洞。  或把url请求中参数改为

7、alert

8、and

9、exec

10、execute

11、insert

12、select

13、delete

14、update

15、c

16、ount

17、drop

18、chr

19、mid

20、master

21、truncate

22、declare

23、sitename

24、netuser

25、xp_cmdshell

26、or

27、+

28、,

29、like'

30、and

31、exec

32、execute

33、insert

34、create

35、drop

36、table

37、from

38、grant

39、group_concat

40、column_name

41、information_schema.columns

42、table_schema

43、union

44、where

45、select

46、delete

47、update

48、order

49、by

50、count

51、chr

52、mid

53、master

54、trun

55、cate

56、declare

57、or

58、--

59、+

60、,

61、like

62、//  不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取; 不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;  应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。4.登录认证测试  4.1暴力破解  暴力破解是目前最直接有效的攻击方式,特别对于金融业务来说,很多情况下口令都为6位纯数字,很容易被攻击。本测试项在于检查认证系统对暴力破解的防护性。  测试方法:  启动抓包工具,同时打开

63、浏览器输入用户登录页面,输入用户名、密码以及验证码,进行登录,如果在抓包中存在明文的用户名和密码,说明存在弱点。  修改建议:  将请求方式从HTTP方式修改为HTTPS方式或者对输入的用户名和密码进行加密,在服务端对密码进行验证  4.2代码注释  开发版本的Web程序所带有的注释在发布版本中没有被去掉,而导致一些敏感信息的泄漏。我们要查看客户端能看到的页面源代码并发现此类安全隐患。  测试方法:  打开登陆页面(或者待测试页面),点击浏览器邮件,查看源代码,检查源代码注释部分是否有敏感信息泄露,敏感信息包括以下内容:字段文字描述

64、、内网IP地址、SQL语句以及物理路径等等。  修改建议:  请勿在HTML 注释中遗留任何重要信息(如文件名或文件路径)。  从生产站点注释中除去以前(或未来)站点链接的跟踪信息。  避免在HTML 注释中放置敏感信息。  确保HT

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。