2. 河豚號(hào) > 生活百科 >

web安全性測(cè)試的項(xiàng)目有哪些(詳解web安全性測(cè)試方法)

河豚俠 ? 生活百科 ? 2022-04-23 23:16:16 ?

前言

隨著人們對(duì)于軟件產(chǎn)品的要求越來越嚴(yán)格,信息一體化的背后更加深藏著各類安全隱患,因此安全測(cè)試成為軟件測(cè)試中非常重要的環(huán)節(jié)。

安全測(cè)試基礎(chǔ)

01.

XSS攻擊

(1)簡(jiǎn)介

XSS(Cross Site Scripting)跨站腳本攻擊,屬于Web攻擊的一種,攻擊者通過對(duì)網(wǎng)頁注入可執(zhí)行代碼(html或JS)成功被瀏覽器執(zhí)行,從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。

(2)XSS攻擊方式

反射型XSS:用戶訪問一個(gè)被攻擊者篡改后的鏈接時(shí),被植入的腳本會(huì)被用戶瀏覽器執(zhí)行,也稱非持久型因?yàn)槭且淮涡裕瑑H對(duì)當(dāng)次的頁面訪問產(chǎn)生影響;

反射型XSS場(chǎng)景:帶有XSS腳本的鏈接轉(zhuǎn)成的短鏈;【在url后跟xss腳本】,網(wǎng)址跳轉(zhuǎn);

存儲(chǔ)型XSS:包含XSS攻擊腳本的內(nèi)容會(huì)被存儲(chǔ)到服務(wù)器端,也稱持久型,用戶讀取到內(nèi)容時(shí)會(huì)自動(dòng)執(zhí)行腳本;

存儲(chǔ)型XSS場(chǎng)景:其他用戶查看別人發(fā)布的留言、評(píng)論,管理員發(fā)布的公告,黑客發(fā)布的博客文章;反饋功能,投訴功能,聊天記錄功能。

(3)XSS攻擊原理

用戶傳入的數(shù)據(jù)被當(dāng)做是程序,所以會(huì)執(zhí)行程序。

01.

SQL注入

(1)簡(jiǎn)介

SQL注入是比較常見的網(wǎng)絡(luò)攻擊方式之一,它不是利用操作系統(tǒng)的BUG來實(shí)現(xiàn)攻擊,而是針對(duì)現(xiàn)有應(yīng)用程序,將SQL語句注入到后臺(tái)數(shù)據(jù)庫,實(shí)現(xiàn)無賬號(hào)登錄,甚至篡改數(shù)據(jù)庫。

(2)SQL注入原理

找到SQL注入的位置,判斷出服務(wù)器類型和后臺(tái)數(shù)據(jù)庫類型,針對(duì)不同的服務(wù)器和數(shù)據(jù)庫特點(diǎn)進(jìn)行SQL注入攻擊。

03.

CSRF跨站請(qǐng)求偽造

(1)簡(jiǎn)介

CSRF(Cross Site Request Forgy)是指攻擊者盜用受信任用戶的身份,并向第三方網(wǎng)站發(fā)送惡意請(qǐng)求,最后達(dá)到攻擊者所需要的操作行為,對(duì)于服務(wù)器來說這個(gè)請(qǐng)求是合法的。

(2)CSRF原理

站點(diǎn)B向站點(diǎn)A發(fā)送請(qǐng)求,請(qǐng)求帶站點(diǎn)A的cookies。

安全測(cè)試類型

安全測(cè)試分類

1身份驗(yàn)證機(jī)制:只對(duì)首次傳遞的Cookie加以驗(yàn)證,程序沒有持續(xù)對(duì)Cookie中內(nèi)含信息驗(yàn)證比對(duì),攻擊者可以修改Cookie中的重要信息以提升權(quán)限進(jìn)行網(wǎng)站數(shù)據(jù)存取或是冒用他人賬號(hào)取得個(gè)人私密資料(測(cè)試對(duì)象:可以進(jìn)行傳參的URL,提交請(qǐng)求頁面,登錄后的Cookie)。

2會(huì)話管理劫持:檢測(cè)Web應(yīng)用程序會(huì)話機(jī)制是否存在安全隱患,能否被非法利用(會(huì)話劫持,偽裝成合法用戶)而影響Web應(yīng)用程序的安全

3SQL注入:攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器,以執(zhí)行計(jì)劃外的命令或者在未被恰當(dāng)授權(quán)時(shí)訪問數(shù)據(jù)。

4XSS跨站腳本攻擊:惡意攻擊者往Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意用戶的特殊目的。

5CSRF跨站請(qǐng)求偽造:攻擊者通過調(diào)用第三方網(wǎng)站的惡意腳本來偽造請(qǐng)求,在用戶不知情的情況下,攻擊者強(qiáng)行遞交構(gòu)造的具有“操作行為”的數(shù)據(jù)包。(測(cè)試對(duì)象:網(wǎng)頁中可進(jìn)行輸入的表單)。

6安全配置錯(cuò)誤:Config中的鏈接字符串以及用戶信息,郵件,數(shù)據(jù)存儲(chǔ)信息等都需要加以保護(hù),如果沒有進(jìn)行保護(hù),那么就是安全配置出現(xiàn)了問題。

7加密存儲(chǔ):未對(duì)需要保護(hù)的數(shù)據(jù)進(jìn)行加密或者加密算法太弱都是不安全的加密存儲(chǔ)。

8URL訪問:攻擊者能夠很容易地就偽造請(qǐng)求直接訪問未被授權(quán)的頁面(測(cè)試對(duì)象:需要身份驗(yàn)證的頁面)。

9敏感信息泄露:攻擊者可能會(huì)竊取或篡改這些弱保護(hù)的數(shù)據(jù)。敏感數(shù)據(jù)值需額外的保護(hù),比如在存放或在傳輸過程中的加密,以及在與瀏覽器交換時(shí)進(jìn)行特殊的預(yù)防措施。

10緩沖區(qū)溢出:當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量,溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。

11LDAP注入:許多應(yīng)用的安全性依賴于基于LDAP目錄的單點(diǎn)登錄環(huán)境。攻擊者可能直接訪問LDAP目錄樹下的數(shù)據(jù)庫,及重要信息。

12篡改輸入:利用一些命令或者工具等篡改一些字段的值。

安全測(cè)試方法

01.

檢查數(shù)據(jù)存儲(chǔ)是否安全

檢查敏感數(shù)據(jù)是否加密存儲(chǔ),檢查對(duì)應(yīng)數(shù)據(jù)庫中的數(shù)據(jù)記錄

檢查敏感數(shù)據(jù)是界面上是否脫敏顯示,即手機(jī)號(hào)139****2107

檢查界面上輸入框數(shù)據(jù)是否有超額或負(fù)數(shù)限制

02.

密碼健壯性驗(yàn)證

驗(yàn)證多次輸入錯(cuò)誤密碼的情

校驗(yàn)密碼的復(fù)雜度

驗(yàn)證密碼找回方式

03.

文件上傳驗(yàn)證

使用抓包工具獲取上傳接口,修改文件的后綴名,再次上傳

在文件中編輯HTML或js語句上傳

04.

越權(quán)操作

當(dāng)前登錄用戶不能修改其他用戶信息

當(dāng)前登錄用戶只能使用分配給當(dāng)前用戶的權(quán)限

05.

用戶認(rèn)證安全性

重復(fù)用戶名提示校驗(yàn)

用戶權(quán)限變更影響

用戶登錄密碼是否可見,是否可復(fù)制

06.

輸入框驗(yàn)證

輸入,看是否出現(xiàn)文本框

輸入 ”>

本文由網(wǎng)上采集發(fā)布,不代表我們立場(chǎng),轉(zhuǎn)載聯(lián)系作者并注明出處:http://m.zltfw.cn/shbk/37601.html

相關(guān)推薦

聯(lián)系我們

在線咨詢:點(diǎn)擊這里給我發(fā)消息

微信號(hào):15705946153

工作日:9:30-18:30,節(jié)假日休息