返回
安全性测试报告.doc

安全性测试报告.doc

ID:57491208

大小:171.50 KB

页数:9页

时间:2020-08-24

安全性测试报告.doc_第1页
安全性测试报告.doc_第2页
安全性测试报告.doc_第3页
安全性测试报告.doc_第4页
安全性测试报告.doc_第5页
资源描述:

《安全性测试报告.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.....安全性测试报告123012011112星1、Sql注入:后台身份验证绕过漏洞验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误例如管理员的账号密码都是admin,那么再比如后台的数据库查精品文档,你值得期待询语句是user=request("user")passwd=request("passwd")sql='selectadminfromadminbatewhereuser='&'''&user&'''&'andpasswd='&'''&pas

2、swd&'''那么我使用'or'a'='a来做用户名密码的话,那么查询就变成了selectadminfromadminbatewhereuser=''or'a'='a'andpasswd=''or'a'='a'.....c.....这样的话,根据运算规则,这里一共有4个查询语句,那么查询结果就是假or真and假or真,先算and再算or,最终结果为真,这样就可以进到后台了这种漏洞存在必须要有2个条件,第一个:在后台验证代码上,账号密码的查询是要同一条查询语句,也就是类似sql="select*fromadminw

3、hereusername='"&username&'&"passwd='"&passwd&'如果一旦账号密码是分开查询的,先查,再查密码,这样的话就没有办法了。第二就是要看密码加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一种条件有没有可以,没有达到第一种条件的话,那就没有戏了2、跨站脚本攻击XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。跨站脚本攻击是指攻击者利用程序对用户输入过滤不足,输入可以显

4、示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。.....c.....3、文件上传测试。用户可以上传自己的头像,上传图片格式的文件可以成功,非图片就不会成功上传。4、系统权限测试。用商家或学生用户账户密码,无法登陆管理员管理后台。学生和未登陆用户不能发布招收兼职的信息,商家用户登陆才能发布此信息。不同用户拥有不同的权限。5、Cookie安全性测试。从浏览器正提取Cookie。.....c.....HTTPCookie不会给机器带来任何伤

5、害,比如从硬盘中获取数据、取得E-mail地址、或窃取某些私人的敏感信息等。实际上,Java与JavaScript早期的运行版本存在这方面的缺陷,但这些安全方面漏洞的绝大部分已经被堵塞了。可执行属性是储存于一个文件中的程序代码执行其功能的必要条件,而Cookies是以标准文本文件形式储存的,因此不会传递任何病毒,所以从普通用户意义上讲,Cookie本身是安全可靠的。    但是,随着互联网的迅速发展,网上服务功能的进一步开发和完善,利用网络传递的资料信息愈来愈重要,有时涉及到个人的隐私。因此关于Cookies的一

6、个值得关心的问题并不是Cookies对你的机器能做些什么,而是它能存储些什么信息或传递什么信息到的服务器。HTTPCookies可以被用来跟踪网上冲浪者访问过的特定站点,尽管站点的跟踪不用Cookies也容易实现,不过利用Cookies使跟踪到的数据更加坚固可靠些。由于一个Cookie是Web服务器.....c.....放置在你的机器上的、并可以重新获取你的档案的唯一的标识符,因此Web站点管理员可以利用Cookies建立关于用户及其浏览特征的详细档案资料。当用户登录到一个Web站点后,在任一设置了Cookies

7、的网页上的点击操作信息都会被加到该档案中。档案中的这些信息暂时主要用于站点的设计维护,但除站点管理员外并不否认被别人窃取的可能,假如这些Cookies持有者们把一个用户身份到他们的CookieID,利用这些档案资料就可以确认用户的名字及地址。此外某些高级的Web站点实际上采用了HTTPCookies的注册鉴定方式。当用户在站点注册或请求信息时,经常输入确认他们身份的登记口令、E-mail地址或邮政地址到Web页面的窗体中,窗体从Web页面收集用户信息并提交给站点服务器,服务器利用Cookies持久地保存信息,并将

8、其放置在用户机上,等待以后的访问。这些Cookies嵌于HTML信息中,并在用户机与站点服务器间来回传递,如果用户的注册信息未曾加密,将是危险的。因此许多人认为Cookie的存在对个人隐私是一种潜在的威胁。.....c.....我就在旁边静静地呆着,不言不语,生怕惊扰这静谧的美好,惟愿时光驻留,变成永恒回忆;惟愿几十年后,两鬓斑白的我们仍然携手坐在阳台上,不谈悲喜,只闻花

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。