Web培训
400-996-5531
对于Web安全问题有哪些常用的测试方法?
今天小编要跟大家分享的文章是关于对于Web安全问题有哪些常用的测试方法?安全问题一直是我们重点关注的问题,开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。今天小编就来跟大家说一说Web安全问题有哪些常用的测试方法有哪些,让我们一起来看一看吧~
一、常见的Web安全问题
常见的Web安全问题有:
SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。
二、手动安全测试
对于手动安全测试来说:
1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;
2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;
3、在注重SQL注入的同时,一般在有输入框的地方输入
三、自动化安全问题
对于自动化安全测试来说:
测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)
1、在使用之前务必确认自己绑定的Host;
2、配置URL、开发环境、错误显示类型;
3、结果保存后可根据提示的问题类型和解决建议进行分析。
四、Web安全测试考虑测试点
Web安全测试通常要考虑的测试点:
1、输入的数据没有进行有效的控制和验证
2、用户名和密码
3、直接输入需要权限的网页地址可以访问
4、认证和会话数据作为GET的一部分来发送
5、隐藏域与CGI参数
6、上传文件没有限制
7、把数据验证寄希望于客户端的验证
8、跨站脚本(XSS)
9、注入式漏洞(SQL注入)
10、不恰当的异常处理
11、不安全的存储
12、不安全的配置管理
13、传输中的密码没有加密
14、弱密码,默认密码
15、缓冲区溢出
16、拒绝服务
五、SQL注入
SQL注入:
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
(select * form 表 Where id=1 or 1
1 or 1是输入框输入的
这样会导致满足 id=1 或 1 的数据都查出来
而所有的数据都满足 1
这样就查出来了很多不该被查出来的数据
这就是sql注入)
以上就是小编今天为大家分享的关于对于Web安全问题有哪些常用的测试方法?的文章,希望本篇文章能够对正在从事Web相关工作的小伙伴们有所帮助。想要了解更多Web相关知识记得关注达内Web前端培训官网。
来源: 蜻蜓 91Testing
【免责声明:本文图片及文字信息均由小编转载自网络,旨在分享提供阅读,版权归原作者所有,如有侵权请联系我们进行删除。】
预约申请免费试听课
填写下面表单即可预约申请免费试听! 怕学不会?助教全程陪读,随时解惑!担心就业?一地学习,可全国推荐就业!
Copyright © Tedu.cn All Rights Reserved 京ICP备08000853号-56 
京公网安备 11010802029508号 达内时代科技集团有限公司 版权所有