课程咨询 :186-8884-0703

深圳Web培训 > 达内新闻 > 【达内WEB教程】WEB安全测试要考虑哪些测试点?
  • 【达内WEB教程】WEB安全测试要考虑哪些测试点?

    发布:深圳Web培训      来源:达内新闻      时间:2016-08-01

  • 见过很多web测试人员在测试过程中常常会忽略这个或那个问题,深圳达内web前端培训(sz.web.tedu.cn)专家将借助本文主要为大家论述了WEB安全测试要考虑的10个测试点。希望能对你们有所帮助!

    【达内WEB教程】WEB安全测试要考虑哪些测试点?

    1、问题:没有被验证的输入

    测试方法:

    数据类型(字符串,整型,实数,等)

    允许的字符集

    最小和最大的长度

    是否允许空输入

    参数是否是必须的

    重复是否允许

    数值范围

    特定的值(枚举型)

    特定的模式(正则表达式)

    2、问题:有问题的访问控制

    测试方法:

    主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址

    例:从一个页面链到另一个页面的间隙可以看到URL地址

    直接输入该地址,可以看到自己没有权限的页面信息,

    3、错误的认证和会话管理

    例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来

    4、缓冲区溢出

    没有加密关键数据

    例:view-source:http地址可以查看源代码

    在页面输入密码,页面显示的是 *****, 右键,查看源文件就可以看见刚才输入的密码。

    5、拒绝服务

    分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。需要做负载均衡来对付。

    6、不安全的配置管理

    分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护

    程序员应该作的: 配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报。

    分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码。

    7、注入式漏洞

    例:一个验证用户登陆的页面,

    如果使用的sql语句为:

    Select * from table A where username=’’ + username+’’ and pass word …..

    Sql 输入 ‘ or 1=1 ―― 就可以不输入任何password进行攻击

    或者是半角状态下的用户名与密码均为:‘or’‘=’

    8、不恰当的异常处理

    分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞,

    9、不安全的存储

    分析:帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。

    浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST,

    10、问题:跨站脚本(XSS)

    分析:攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料

    测试方法:

    ● HTML标签:<…>…</…>

    ● 转义字符:&(&);<(<);>(>); (空格) ;

    ● 脚本语言:

    <script. language=‘javascript’>

    …Alert(‘’)

    </script>

    ● 特殊字符:‘ ’ < > /

    ● 最小和最大的长度

    ● 是否允许空输入

    如果想学习的同学可以参加深圳达内web培训, 免费试听,或周末免费参加深圳web培训公开课程试听,这里有强大的师资阵容,“师者,所以传道授业解惑也”,讲师,是教育的主体,是影响整体办学质量、 学员学习质量的重要因素。所以深圳达内 web培训竭尽全力为学员提供最强大的师资力量,让学员接受最好的教育,学习最前沿的技术。 掌握一门牛逼闪闪技术,待遇自然不在话下。 选择培训机构等于选择未来开发行业的根基,优秀的web培训机构不仅仅是传授专业开发知识,更重要的是培养学员的开发思维和动手能力,可谓授人以鱼不如授 人以渔!而这些,达内可以做到!

上一篇:【达内Web教程】WEB Fuzz中需要关注的7种响应

下一篇:【达内职场秀】如何巧妙回答面试问工资的问题?

最新开班日期  |  更多

WEB前端工程师--全日制班

WEB前端工程师--全日制班

开班日期:3月31日

WEB培训前端工程师--周末班

WEB培训前端工程师--周末班

开班日期:3月31日

WEB培训免费训练营一期

WEB培训免费训练营一期

开班日期:3月31日

WEB培训免费训练营二期

WEB培训免费训练营二期

开班日期:3月31日

  • 地址:深圳市福田区八卦四路华晟达(原南方苑)大厦4楼东—深圳WEB开发培训中心
  • 课程培训电话:186-8884-0703     全国服务监督电话:400-827-0010
  • 服务邮箱 ts@tedu.cn
  • 2001-2016 达内时代科技集团有限公司 版权所有 京ICP证8000853号-56