安全性测试报告

《安全性测试报告》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、..-平安性测试报告1、Sql注入：后台身份验证绕过漏洞验证绕过漏洞就是'or'='or'后台绕过漏洞，利用的就是AND和OR的运算规那么，从而造成后台脚本逻辑性错误例如管理员的账号密码都是admin，那么再比方后台的数据库查精品文档，你值得期待询语句是user=request("user")passwd=request("passwd")sql='selectadminfromadminbatewhereuser='&'''&user&'''&'andpasswd='&'''&passwd&'''那么我使用'or'a'='a来做用户名密码的话，那么查询就变成了selectadminfroma

2、dminbatewhereuser=''or'a'='a'andpasswd=''or'a'='a'..word.zl-..-这样的话，根据运算规那么，这里一共有4个查询语句，那么查询结果就是假or真and假or真，先算and再算or，最终结果为真，这样就可以进到后台了这种漏洞存在必须要有2个条件，第一个：在后台验证代码上，账号密码的查询是要同一条查询语句，也就是类似sql="select*fromadminwhereusername='"&username&'&"passwd='"&passwd&'如果一旦账号密码是分开查询的，先查，再查密码，这样的话就没有方法了。第二就是要看密码加不加密，

3、一旦被MD5加密或者其他加密方式加密的，那就要看第一种条件有没有可以，没有到达第一种条件的话，那就没有戏了2、跨站脚本攻击XSS跨站脚本攻击一直都被认为是客户端Web平安中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性，使得该类型攻击很难彻底解决。跨站脚本攻击是指攻击者利用程序对用户输入过滤缺乏，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进展某种动作或者对访问者进展病毒侵害的一种攻击方式。..word.zl-..-3、文件上传测试。用户可以上传自己的头像，上传图片格式的文件可以成功，非图片就不会成功上传。4、系统权限测试。用商家

4、或学生用户账户密码，无法登陆管理员管理后台。学生和未登陆用户不能发布招收兼职的信息，商家用户登陆才能发布此信息。不同用户拥有不同的权限。5、Cookie平安性测试。从浏览器正提取Cookie。..word.zl-..-HTTPCookie不会给机器带来任何伤害，比方从硬盘中获取数据、取得地址、或窃取某些私人的敏感信息等。实际上，Java与JavaScript早期的运行版本存在这方面的缺陷，但这些平安方面漏洞的绝大局部已经被堵塞了。可执行属性是储存于一个文件中的程序代码执行其功能的必要条件，而Cookies是以标准文本文件形式储存的，因此不会传递任何病毒，所以从普通用户意义上讲，Cookie本身

5、是平安可靠的。　　　　但是，随着互联网的迅速开展，网上效劳功能的进一步开发和完善，利用网络传递的资料信息愈来愈重要，有时涉及到个人的隐私。因此关于Cookies的一个值得关心的问题并不是Cookies对你的机器能做些什么，而是它能存储些什么信息或传递什么信息到的效劳器。HTTPCookies可以被用来跟踪网上冲浪者访问过的特定站点，尽管站点的跟踪不用Cookies也容易实现，不过利用Cookies使跟踪到的数据更加巩固可靠些。由于一个Cookie是Web效劳器..word.zl-..-放置在你的机器上的、并可以重新获取你的档案的唯一的标识符，因此Web站点管理员可以利用Cookies建立关于用

6、户及其浏览特征的详细档案资料。当用户登录到一个Web站点后，在任一设置了Cookies的网页上的点击操作信息都会被加到该档案中。档案中的这些信息暂时主要用于站点的设计维护，但除站点管理员外并不否认被别人窃取的可能，假设这些Cookies持有者们把一个用户身份到他们的CookieID，利用这些档案资料就可以确认用户的名字及地址。此外某些高级的Web站点实际上采用了HTTPCookies的注册鉴定方式。当用户在站点注册或请求信息时，经常输入确认他们身份的登记口令、地址或邮政地址到Web页面的窗体中，窗体从Web页面收集用户信息并提交给站点效劳器，效劳器利用Cookies持久地保存信息，并将其放置在

7、用户机上，等待以后的访问。这些Cookies嵌于HTML信息中，并在用户机与站点效劳器间来回传递，如果用户的注册信息未曾加密，将是危险的。因此许多人认为Cookie的存在对个人隐私是一种潜在的威胁。..word.zl-..-..word.zl-..-..word.zl-..-..word.zl-..-..word.zl-