web安全性测试的项目有哪些(详细说明web安完全性测试标准)

序言

伴随着人们对软件项目的需求越来越严,信息一体化背后更为藏于着各种安全风险,因而安全性测试变成软件性能测试中至关重要的过程。

安全性测试基本

01.

(1)介绍

XSS(Cross Site Scripting)xss漏洞,归属于Web攻击一种,攻击者根据对网页页面注入可执行代码(html或JS)取得成功被电脑浏览器实行,进而窃取用户材料、利用用户真实身份开展某类姿势或者是对来访者开展病毒感染损害的一种拒绝服务攻击。

(2)XSS拒绝服务攻击

反射面型XSS:用户浏览一个被攻击者伪造后连接时,被移植的脚本制作能被用户电脑浏览器实行,又称非长久型毕竟是一次性,只对本次的访问页面造成影响;

反射面型XSS情景:含有XSS脚本制作链接转为的挎包;【在url脚跟xss脚本制作】,网站自动跳转;

储存型XSS:包括XSS进攻脚本制作内容能被储存到服务端,又称长久型,用户载入到具体内容的时候会全自动执行脚本;

储存型XSS情景:别的用户查询他人公布的评论、评价,管理人员公布的通知,网络黑客公布的网络文章;意见反馈作用,举报作用,微信聊天记录作用。

(3)XSS进攻原理

用户传到的信息被当成是程序流程,因此会程序执行。

01.

(1)介绍

SQL注入是常见的黑客攻击方式之一,它并不是利用电脑操作系统的BUG来达到进攻,只是对于目前应用软件,将SQL句子注入到后台系统,完成无账户登录,乃至伪造数据库系统。

(2)SQL注入原理

寻找SQL注入位置,推断出网络服务器种类和后台系统种类,针对不同网络服务器和数据库系统特性开展SQL注入进攻。

03.

CSRF跨站请求仿冒

(1)介绍

CSRF(Cross Site Request Forgy)就是指攻击者盗取受信赖用户身份,同时向第三方网站推送故意请求,最终做到攻击者所需的操作行为,针对网络服务器而言这一请求是合理的。

(2)CSRF原理

网站B向站点A推送请求,请求带网站A的cookies。

安全性测试归类

1身份认证体制:仅对初次传达的Cookie加以认证,程序流程并没有不断对Cookie中含有信息验证核对,攻击者能够改动Cookie中的关键信息内容以提高管理权限开展网址数据存取或者冒充别人账户获得本人私秘材料(测试对象:也可以进行传参的URL,递交请求网页页面,登陆账号的Cookie)。

2会话管理挟持:检验Web应用程序流程对话体制是不是安全隐患问题,能不能被违法利用(对话挟持,装扮成合理合法用户)从而影响Web应用程序流程的安全性

3SQL注入:攻击者上传的故意数据信息能够出轨编译器,以实行计外的指令或在没被适当受权时浏览数据信息。

4XSSxss漏洞:故意攻击者往Web网页页面里插进故意html代码,当用户访问该页之际,置入在其中Web里边的html代码会强制执行,以达到故意用户特殊的目地。

5CSRF跨站请求仿冒:攻击者根据启用第三方网站的恶意脚本来仿冒请求,在用户不经意之间,攻击者强制提交结构的具备“操作行为”的数据文件。(测试对象:网页页面中可以进行输入表格)。

6安全性配置错误:Config中链接字符串数组及其用户信息内容,电子邮件,数据储存信息内容等都要进行维护,要是没有的保护,那你就是被动安全出了问题。

7数据库存储:未对必须的保护信息进行数据加密或是加密技术较弱全是不安全的数据库存储。

8URL浏览:攻击者可以很方便地就仿冒请求直接访问没被受权页面(测试对象:必须身份认证页面)。

9敏感信息泄露:攻击者可能盗取或伪造这种弱维护的信息。隐秘数据值需额外维护,例如在储放或者在传送过程的数据加密,及在与电脑浏览器互换前进行特殊防范措施。

10跨站脚本攻击:当电子计算机向缓冲区域内添充数据信息个数时超过缓冲区域自身的容积,外溢的数据覆盖在合理合法数据上。

11LDAP注入:很多运用安全性取决于根据LDAP文件目录的单点登陆自然环境。攻击者很有可能直接访问LDAP目录树中的数据库系统,及关键信息。

12伪造键入:利用一些指令或是设备等伪造一些字段值。

安全性测试标准

01.

查验隐秘数据是不是数据库存储,查验相匹配数据库系统里的记录数据

查验隐秘数据是页面上是不是抗过敏表明,即手机号码139****2107

查验页面上文本框数据信息是否存在超量或负值限定

02.

认证数次输错登陆密码的情

校检登陆密码的复杂性

认证找回密码方法

03.

上传文件认证

应用抓包软件获得提交插口,改动文件的后缀名,再度提交

在文档中编写HTML或js句子提交

04.

滥用权力实际操作

现阶段登陆用户不可以改动别的用户信息内容

现阶段登陆用户必须使用分给现阶段用户的管理权限

05.

用户验证安全系数

反复用户名提醒校检

用户管理权限变动危害

用户账户密码是不是由此可见,是不是复制推广

06.

文本框认证

键入,看看是否发生输入框

键入 ”>

原创文章,作者:leping,如若转载,请注明出处:https://www.wxymghbl.com/hq-2128.html

(0)
上一篇 2022年10月2日 04:41
下一篇 2022年10月2日 06:50

相关推荐