web安全测试的一些知识点以及注意事项

国内新闻 阅读(1907)

随着Internet的快速发展,Web应用程序在软件开发中的作用变得越来越重要。同时,由于网站上运行的当前网站和应用程序,Web应用程序遭受了许多安全攻击。从某种意义上说,它是所有公司或组织的虚拟前门,因此更容易受到攻击和安全风险的影响。

今天,我将分享一些关于安全测试的知识点和预防措施。

首先,安全测试的验证点

系统的安全验证点包括上传功能,注册功能/登录功能,验证码功能,密码,敏感信息泄露,未授权测试,错误信息,会话等。

1,上传功能

上传中断,程序是否判断上传是否成功上传了可执行文件,如服务器端语言(jsp/asp/php)的扩展名或exe等可执行文件,并确认是否可以直接运行服务器端

2,注册功能/登录功能

请求是否安全传输。重复注册/登录密钥cookie是httponly会话修复:使用会话的不变机制获取他人的身份验证和授权,然后模拟

3,验证码功能

短信爆炸验证码一次

4.忘记密码

移动电话号码/电子邮件检索程序的设计是不合理的,因此可以绕过和修改SMS验证码(使用buppsuite捕获数据包并将响应值修改为true)

5.泄漏敏感信息

数据库/日志/提示

6.超过测试

不登录系统,直接输入下载文件的URL即可下载/登录后直接输入页面的URL可以访问参数值,手动更改URL可以访问页面,无权访问会话共享在不同用户之间,您可以非法操作对方的数据

7,错误信息

使用sql语句,错误消息和Web服务器的绝对路径

发布错误消息

8,会议

注销后,单击后退按钮以访问上一页

它主要归结为以下几点:(框架可以在以后优化为安全测试)

部署和基础结构输入身份验证身份验证授权配置管理敏感数据会话管理加密参数操作异常管理审核和日志安全,

二,结合实际情况(现有系统)发现问题

1,日志/提示

在系统的早期阶段,通常更容易发现,当执行某些错误或反向测试时,具有明显数据库的表或字段将出现在页面的提示中,否则将出现一些敏感词。类似的密码,卡号,ID号没有相应的显式密文转换,并且这些敏感词/clear ciphertexts的存在将导致攻击者获取,从而进行简单粗暴的攻击并轻松攻击服务器。或数据库,这将危及整个系统!

2.重复性

大多数网站都会有注册功能,同样我们将负责支付这个帐号还会有账号,注册并开设账号,基本上会有一个独特的需求检查,会在前端截获,但是如果使用jmter添加参数并添加新参数值可能会导致新的成功,这将导致页面系统中出现相同的数据,这可能会导致整个函数出错。

3.数量限制

类似于发票,登录或短信,如果没有相应的限制,如短信,没有限制的次数,攻击者会通过短信轰炸,攻击系统,导致系统瘫痪,其他客户将无法使用该系统。

4.越权测试

(基本上,大多数系统都没有指定越权的要求。)在Web系统中,通用地址栏将具有参数,例如用户编号,订单编号或一些其他参数。在此基础上,系统将拥有许多用户,或多个级别,例如:A大于B大于C,那么我会。如果系统没有限制订单号参数的输入,C用户可以修改订单号以查看B或甚至A用户的数据,这可能导致数据泄露。而且,如果系统可以修改用户,则C用户可以看到B或A用户的数据。用户号码,无需处理,使所有数据都可以被操纵,整个系统将是混乱的,影响很大。

5. SQL注入/XSS攻击

主要是输入框的检查/截取以及是否被转义。如果没有系统来处理输入内容,攻击者可以输入一个SQL语句或一段代码,并在后台输入相应的功能,这将导致整个功能混乱,并且其他人提交的数据普通用户也会被检查。非常重要的是,您无法操作或提交死循环('>)的代码,并且您无法关闭它。

基本上,以上五点都在测试中,系统确实存在,出现的问题,以及其他问题都没有逐一引用,其中越权,SQL注入和XSS攻击是最重要的!

3.克服小困难

以上所有都需要手动手动参与,而且人工操作不够全面,所以这是一个遇到的小问题。现在有一个用于网络系统漏洞扫描的工具, AWVS,它通过网络爬虫测试您的网站安全性并检测流行的安全漏洞。漏洞主要分为四个层次:高风险,中等风险,低风险和优化。内部和外部链接的安全性,无论文件是否存在以及传输是否安全,还包括SQL注入和XSS攻击,输入地址,用户名和密码,扫描完成后,将显示相应的数据:漏洞,漏洞描述,建议性修复;扫描网站的持续时间,文件数据量,环境信息等,更全面!

第四,安全测试的想法和框架

主要基于以下六点实现更完整的安全测试思路,该框架基于半手动,半自动实现整个系统的验证。

部署和基础架构输入验证/身份验证(权限验证)敏感数据参数操作审核和日志安全性;

五,当前存在的问题/需要优化

目前大多数安全测试都是半手动和半自动的,但它们并不专业,所以他们仍在探索漏洞。他们只能尽可能地找到系统中的漏洞,而且测试理论难以应用于安全领域;

安全测试的基本理论很薄弱,目前的测试方法缺乏理论指导,没有更多的技术产品工具;

安全测试需要分析系统中使用的技术和系统的体系结构。这也是一个薄弱环节!

World Data Web Application Firewall(Cloud WAF)是一款基于AI引擎的一站式Web业务运营风险保护解决方案,可帮助用户处理网站入侵,漏洞利用,挂马,篡改,后门,爬虫等安全问题Bot,域名劫持等。组织网站和Web业务安全操作以保驾护航。询问世界数据客户服务

http://www.whgcjx.com/bds0CGq49/QDn79.html