Web安全测试知识点有哪些


这篇文章主要介绍“Web安全测试知识点有哪些”的相关知识,小编通过实际案例向大家展示操作过程,操作方法简单快捷,实用性强,希望这篇“Web安全测试知识点有哪些”文章能帮助大家解决问题。什么是安全测试?安全测试就是要提供证据表明,在面对敌意和恶意输入的时候,应用仍然能够充分的满足它的需求。a.如何提供证据?我们通过一组失败的安全测试用例执行结果来证明web应用不满足安全需求。b.如何看待安全测试的需求?与功能测试相比,安全测试更加依赖于需求,因为它有更多可能的输入和输出可供筛选。真正的软件安全其实际上指的是风险管理,即我们确保软件的安全程度满足业务需要即可。如何开展安全测试?基于常见攻击和漏洞并结合实际添加安全测试用例,就是如何将安全测试变为日常功能测试中简单和普通的一部分的方法。选择具有安全意义的特殊边界值,以及具有安全意义的特殊等价类,并将这些融入到我们的测试规划和测试策略过程中。但是若在功能测试基础上进行安全测试,则需要增加大量测试用例。这意味着必须做两件事来使其便于管理:缩小关注的重点和测试自动化。Web安全测试通常要考虑的测试点?1、问题:没有被验证的输入
测试方法:数据类型(字符串,整型,实数,等)
允许的字符集最小和最大的长度
是否允许空输入
参数是否是必须的
重复是否允许
数值范围
特定的值(枚举型)
特定的模式(正则表达式)2、问题:有问题的访问控制测试方法:主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址
例:从一个页面链到另一个页面的间隙可以看到URL地址,直接输入该地址,可以看到自己没有权限的页面信息3、错误的认证和会话管理例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来
4、缓冲区溢出没有加密关键数据例:view-source:http地址可以查看源代码,在页面输入密码,页面显示的是 *****, 右键,查看源文件就可以看见刚才输入的密码5、拒绝服务分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪,需要做负载均衡来对付
6、不安全的配置管理分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护。程序员应该做的:配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码7、注入式漏洞
例:一个验证用户登陆的页面,如果使用的sql语句为:Select * from table A where username=’’ + username+’’ and pass word …..Sql 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击8、不恰当的异常处理分析:程序在抛出异常的时免费云主机域名候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞9、不安全的存储分析:帐号列表,系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST10、问题:跨站脚本(XSS)分析:攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料测试方法:HTML标签:……>转义字符:&(&);(>); (空格) ;脚本语言:…Alert(‘’)特殊字符:‘ ’ /最小和最大的长度是否允许空输入关于“Web安全测试知识点有哪些”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识,可以关注云编程开发博客行业资讯频道,小编每天都会为大家更新不同的知识点。

相关推荐: SSL证书和CA证书有什么不同

这篇文章将为大家详细讲解有关SSL证书和CA证书有什么不同,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。SSL证书和CA证书的区别SSL证书和CA证书区别是什么?相信很多的人会问到这个问题,下面小编来给大家分析一下。SSL是…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 02/06 15:40
Next 02/06 15:41