web安全测试要点总结解析
Web安全测试
Web安全测试Web安全测试是指对Web应用程序进行安全性检测和评估的过程,旨在发现潜在的安全漏洞和弱点,以保护Web应用程序免受恶意攻击和数据泄露。
在当今数字化时代,Web安全测试变得愈发重要,因为Web应用程序承载了大量的敏感数据和个人信息,一旦遭受攻击,将会给个人和组织带来严重的损失。
因此,进行Web安全测试是保障信息安全的重要举措。
首先,Web安全测试需要从多个角度入手,包括但不限于网络安全、应用安全、数据库安全、身份验证和授权等方面。
在进行测试时,需要考虑常见的安全漏洞,如跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。
通过模拟黑客攻击的方式,测试人员可以发现并修复这些漏洞,以提高Web应用程序的安全性。
其次,Web安全测试需要采用多种测试方法和工具。
常见的测试方法包括静态测试和动态测试。
静态测试是指在不执行代码的情况下对Web应用程序进行分析,以发现潜在的安全问题。
而动态测试则是在应用程序运行时进行测试,以模拟真实环境中的攻击行为。
此外,还可以利用自动化测试工具,如Burp Suite、Nessus、OpenVAS等,来提高测试效率和发现潜在漏洞。
另外,Web安全测试需要持续进行,而不是一次性的工作。
随着Web应用程序的不断更新和演变,新的安全漏洞也会不断出现。
因此,定期进行安全测试是至关重要的。
同时,及时修复发现的安全漏洞也是保障Web应用程序安全的重要步骤。
最后,Web安全测试需要全员参与,而不仅仅是测试人员的责任。
开发人员、运维人员、安全团队等都应该意识到安全测试的重要性,并积极参与到安全测试的工作中。
只有全员共同努力,才能够有效地保护Web应用程序免受攻击。
总之,Web安全测试是一项复杂而又必不可少的工作。
通过采用多种测试方法和工具,持续进行安全测试,并让全员参与其中,才能够有效地保障Web应用程序的安全。
希望各个组织和个人都能够重视Web安全测试,共同维护一个安全可靠的网络环境。
如何进行Web应用程序的安全测试
如何进行Web应用程序的安全测试随着互联网的快速发展,Web应用程序在我们的日常生活和工作中扮演着越来越重要的角色。
然而,由于Web应用程序的复杂性和普遍存在的安全漏洞,保证Web应用程序的安全性成为一项紧迫的任务。
本文将介绍如何进行Web应用程序的安全测试,以确保其免受潜在的黑客攻击和数据泄露。
1. 确定测试目标在进行Web应用程序的安全测试之前,首先需要明确测试的目标。
这包括确定要测试的具体功能,确定测试的时间范围,以及定义测试的成功标准。
通过明确测试目标,可以更加有效地组织测试活动,并确保测试的全面性和准确性。
2. 识别潜在的安全漏洞在进行Web应用程序的安全测试时,需要对潜在的安全漏洞进行识别和分析。
这包括常见的漏洞类型,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和SQL注入等。
通过使用专业的安全测试工具,如渗透测试工具和漏洞扫描器,可以发现并定位这些潜在的安全漏洞。
3. 进行渗透测试渗透测试是Web应用程序安全测试的重要组成部分。
通过模拟黑客攻击,渗透测试可以帮助发现系统中的弱点并评估其对真实攻击的抵抗力。
在进行渗透测试时,可以尝试使用各种攻击技术,如暴力破解、参数篡改和恶意文件上传等,以测试Web应用程序的安全性。
4. 编写安全测试报告在完成Web应用程序的安全测试后,需要根据测试结果编写安全测试报告。
这份报告应包括测试的目标、测试方法、测试结果以及建议的修复措施。
通过编写详细的安全测试报告,可以帮助开发人员和系统管理员更好地了解系统中存在的安全问题,并采取相应的措施来修复这些问题。
5. 定期进行安全测试Web应用程序的安全性需要得到持续的关注和保护。
因此,定期进行安全测试是非常重要的。
通过定期的安全测试,可以发现和修复新的安全漏洞,提高Web应用程序的整体安全性。
在进行定期安全测试时,可以结合自动化测试工具和手动测试方法,以确保测试的全面性和准确性。
总结:通过明确测试目标,识别潜在的安全漏洞,进行渗透测试,编写安全测试报告以及定期进行安全测试,可以有效地提高Web应用程序的安全性。
22_web安全性测试完整版
1
基本概念
• 什么是安全测试 • 什么是Web应用 • Web应用安全测试
2
什么是安全测试?
我们遵照一般顾客所采用旳措施来测试应用旳 功能。假如我们不拟定与其行为是什么,一般也 会经过问询别人、阅读需求或者使用我们旳直觉 旳措施懂得。负面测试遵照某些从正面测试中自 然而直接地获取旳原则。我们懂得银行旳存款不 应该是负值;密码不应该是1MB旳JPEG图片;电话 号码中不应该包括字母。伴随我们相应用进行并 建立起正面旳功能测试,建立背面测试就自然而 然成为下一步。这与安全测试有什么关系?
因而,Web安全测试就是使用多种工具,涉 及手动工具和自动工具,来模拟和激发我们旳 Web应用活动。
5
目的与对象
• 目旳
我们旳目旳是找出源代码本身旳缺陷,生 成与整体测试方案融为一体旳、可反复旳、 可靠旳测试,但是它们是用于处理Web应用 安全旳。
• 对象
我们旳测试对象是由你编写,由你操作或 者至少由你测试旳软件——源代码,业务逻 辑。我们不考虑防火墙、路由器或者IT安全软 件旳作用。
• Apache http server
是一种开源旳web服务器,某些高级旳跨站式
脚本漏洞攻击程序以及测试php包括文件注入需
搭建web服务器。它在运营时,它所掌管旳文件
能够被任何能够向你旳系统发送数据包旳人访问,
不合用它时,最佳将其关闭。
11
基本观察
• 查看源代码
有两项作用;发觉最明显旳安全问题;为将 来旳测试建立一种比较基准。最常见旳web漏 洞涉及到向web应用提供恶意输入以修改html 源代码,在测试这些漏洞时,验证测试经过或 失败最简朴旳措施就是检验源代码是否被恶意 更改。
常见的web安全性测试点
常见的web安全性测试重点1.XSS(CrossSite Script)跨站脚本攻击XSS(CrossSite Script)跨站脚本攻击。
它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。
测试方法:在数据输入界面,添加记录输入:<script>alert(/30141/)</script>,添加成功如果弹出对话框,表明此处存在一个XSS漏洞。
或把url请求中参数改为<script>alert(/30141/)</script>,如果页面弹出对话框,表明此处存在一个XSS 漏洞修改建议:过滤掉用户输入中的危险字符。
对输入数据进行客户端和程序级的校验(如通过正则表达式等)。
Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤2.CSRF与跨站脚本(XSS)CSRF与跨站脚本(XSS),是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。
测试方法:同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登陆界面。
修改建议:在不同的会话中两次发送同一请求并且收到相同的响应。
这显示没有任何参数是动态的(会话标识仅在cookie 中发送),因此应用程序易受到此问题攻击。
因此解决的方法为1.Cookie Hashing(所有表单都包含同一个伪随机值):2. 验证码3.One‐Time Tokens(不同的表单包含一个不同的伪随机值)客户端保护措施:应用防止CSRF攻击的工具或插件。
3.注入测试SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
web安全测试学习总结V1.0
目录第一章概述 (1)1.1 WEB应用安全现状 (1)1.2 WEB应用安全测试概念 (1)1.3 WEB应用安全测试主要工作 (1)1.4何时开始WEB应用安全测试 (2)第二章常见WEB安全漏洞 (3)2.1漏洞分类 (3)2.2十大攻击手段 (3)第三章WEB安全测试方法 (8)第四章WEB安全测试CHECKLIST (9)4.1可手工执行或工具执行 (9)4.2借助工具或了解后手工来进行测试 (11)4.3研发或使用工具才能进行 (13)第五章安全测试工具 (16)5.1安全测试工具介绍 (16)5.2使用APPSCAN进行安全测试 (16)第六章关于学习安全性测试 (27)6.1存在的困难 (27)6.2下阶段的安排 (27)第一章概述1.1 web应用安全现状随着互联网技术的发展,越来越多的企业将应用架设在web平台上。
但是:●网络技术的逐渐成熟,黑客们将注意力从以往对网络服务器的攻击转移到对web应用的攻击上●企业对于web应用的安全不够重视,大部分的花费只是用于网络和服务器的安全上●Web应用开发人员技术能力参差不齐,很多开发人员都没有对web应用的安全给与足够的重视,很多网站的安全性都十分的脆弱。
●安全测试人才缺乏。
综上所述,web应用的安全现状很不乐观,需要从多方面给予足够的重视。
1.2 web应用安全测试概念Web应用安全测试是指验证web应用的安全等级和识别潜在安全性缺陷的过程。
它的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力。
1.3 web应用安全测试主要工作1、全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的反应;2、对软件设计中用于提高安全性的结构、算法、容错、冗余、中断处理等方案,进行针对性测试;3、在异常条件下测试软件,以表明不会因可能的单个或多个输入错误而导致不安全状态。
4、用错误的安全性关键操作进行测试,以验证系统对这些操作错误的反应;5、对安全性关键的软件单元和软件部件,要单独进行加强的测试,以确认其满足安全性需求。
Web应用安全测试的关键点
Web应用安全测试的关键点Web应用安全测试是保障用户信息安全的重要环节。
在互联网时代,越来越多的业务都放在了web上,用户信息也越来越易受到黑客的攻击。
为了保障用户信息的安全,企业和组织需要进行全面的web应用安全测试。
本文将介绍web应用安全测试的关键点,以便读者能够更好地理解和应用于实践。
文章将分为以下几个部分进行论述。
1. 了解web应用安全测试的目标Web应用安全测试的目标是发现和修复应用中存在的安全漏洞和弱点,以保障应用程序的安全性。
常见的web应用安全漏洞包括SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。
了解这些目标,可以帮助测试人员更好地定位和识别潜在的安全风险。
2. 制定全面的测试计划在进行web应用安全测试之前,需要制定全面的测试计划。
测试计划应包括测试范围、测试目标、测试方法、测试工具等内容。
测试范围应涵盖应用的各个模块和功能点,确保全面覆盖。
测试目标应明确,以便评估测试结果是否达到预期目标。
测试方法和测试工具的选择也非常重要,可以根据具体情况来确定。
3. 根据OWASP Top 10进行测试OWASP(开放式Web应用安全项目)是一个为web应用提供安全性建议和资源的组织。
其提出了一份被广泛接受的OWASP Top 10安全风险清单,包括最常见的web应用安全漏洞。
测试人员可以根据OWASP Top 10来进行测试,确保涵盖了常见的安全风险。
4. 进行认真细致的黑箱测试黑箱测试是指在不了解应用内部实现细节的情况下进行测试。
测试人员需要以攻击者的思维来进行测试,尽可能地发现漏洞和弱点。
测试过程中需要模拟各种攻击场景,并观察系统的反应和防御能力。
同时,也需要记录下所有的测试步骤和结果,以便后续分析和修复。
5. 重点关注数据验证和访问控制在进行web应用安全测试时,需要重点关注数据验证和访问控制。
数据验证是指对用户提交的数据进行合法性验证,以防止恶意用户提交非法数据,造成安全风险。
web测试要点总结
web测试要点总结在进行网页测试时,有几个重要的要点需要注意。
首先是功能测试,这是测试人员必须进行的基本测试,以确保网页的功能正常运行。
其次是用户界面测试,这是为了确保网页的用户界面友好、直观和易用。
另外,性能测试也是一个重要的测试要点,以确保网页在各种网络环境下都能够高效运行。
最后,安全测试是确保网页能够防止恶意攻击和保护用户数据的重要测试要点之一。
功能测试是网页测试中非常重要的一部分。
在功能测试中,测试人员需要检查网页上各个功能模块是否正常运行,例如登录、注册、搜索、购买等。
测试人员需要验证这些功能是否按照设计要求正确运行,并且提供了正常的结果。
他们还需要测试各个模块之间的交互是否顺畅,例如从一个页面跳转到另一个页面是否正确。
用户界面测试也是一个重要的测试要点。
在这个测试中,测试人员需要验证网页的用户界面是否清晰、直观和易于使用。
他们需要测试字体、颜色、图像等元素是否具有良好的可读性和视觉吸引力。
此外,他们还需要测试各个模块之间的导航是否清晰明了,用户是否能够轻松找到所需的功能。
性能测试是确保网页能够在不同网络环境下高效运行的测试要点之一。
在这个测试中,测试人员需要测试网页在不同的网络速度和负载下的响应时间和效率。
他们需要确保网页能够在较慢的网络速度下仍然能够正常工作,并且能够处理大量的请求和数据。
性能测试还包括对网页的加载速度、响应时间和并发处理能力的测试。
安全测试也是非常重要的测试要点之一。
在这个测试中,测试人员需要测试网页的安全性,确保网页能够防止未经授权的访问或恶意攻击。
他们需要验证网页是否采用了安全的数据传输协议,如HTTPS。
他们还需要测试是否存在跨站点脚本攻击、SQL注入攻击和跨站请求伪造等常见的安全漏洞。
安全测试还包括对用户数据和隐私的保护测试。
除了以上提到的要点,还有一些其他的测试要点也是需要注意的。
例如,兼容性测试,测试人员需要测试网页在不同的操作系统、浏览器和设备上的兼容性。
WEB安全测试要考虑的10个测试点
WEB安全测试要考虑的10个测试点本文主要论述了WEB安全测试要考虑的10个测试点:1、问题:没有被验证的输入测试方法:数据类型(字符串,整型,实数,等)允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值(枚举型)特定的模式(正则表达式)2、问题:有问题的访问控制测试方法:主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关闭该页面以后,查看是否可以直接进入该复制好的地址例:从一个页面链到另一个页面的间隙可以看到URL地址直接输入该地址,可以看到自己没有权限的页面信息,3、错误的认证和会话管理例:对Grid、Label、Tree view类的输入框未作验证,输入的内容会按照html语法解析出来4、缓冲区溢出没有加密关键数据例:view-source:http地址可以查看源代码在页面输入密码,页面显示的是*****, 右键,查看源文件就可以看见刚才输入的密码。
5、拒绝服务分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。
需要做负载均衡来对付。
6、不安全的配置管理分析:Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护程序员应该作的:配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报。
分析:用户使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到web程序中,攻击者可以让web应用程序来执行任意代码。
7、注入式漏洞例:一个验证用户登陆的页面,如果使用的sql语句为:Select * from table A where username=’’+ username+’’and pass word …..Sql 输入‘or 1=1 ――就可以不输入任何password进行攻击或者是半角状态下的用户名与密码均为:‘or’‘=’8、不恰当的异常处理分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞,9、不安全的存储分析:帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、Web 应用安全威胁分为如下六类: (2)二、常见针对Web 应用攻击的十大手段 (2)三、Rational AppScan功能简介 (3)四、Web安全体系测试 (4)五、web安全测试的checklist (5)六、跨站点脚本攻击测试要点 (7)七、Cookie: (10)八、跨站点攻击: (12)九、DOS攻击: (13)十、暴力破解 (14)十一、 sql注入 (15)一、Web 应用安全威胁分为如下六类:Authentication(验证)用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)用来扰乱或是探测Web 站点用户的攻击手段。
Command Execution(命令执行)在Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)用来获取Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)用来扰乱或是探测Web 应用逻辑流程的攻击手段二、常见针对Web 应用攻击的十大手段应用威胁负面影响后果跨网站脚本攻击标识盗窃,敏感数据丢失…黑客可以模拟合法用户,控制其帐户。
注入攻击通过构造查询对数据库、LDAP和其他系统进行非法查询。
黑客可以访问后端数据库信息,修改、盗窃。
恶意文件执行在服务器上执行Shell 命令Execute,获取控制权。
被修改的站点将所有交易传送给黑客不安全对象引用黑客访问敏感文件和资源Web 应用返回敏感文件内容伪造跨站点请求黑客调用Blind 动作,模拟合法用户黑客发起Blind 请求,要求进行转帐三、Rational AppScan功能简介Rational AppScan 同时提供了很多高级功能,帮助客户对复杂应用进行检测。
支持的扫描配置有:•Starting URL:起始URL,制定被测应用的起始地址•Custom Error Pages:制定错误网页提高测试效率•Session IDs:管理测试过程中的session•Automatic Server Detection:自动检测应用所在的应用服务器、web server、操作系统•Exclusion and Inclusion:制定哪些Web 被扫描或者被排除,哪些文件类型不被扫描•Scan Limits:其他高级扫描限制,例如扫描次数限制等•Advanced:扫描的方式,是宽度扫描还是深度扫描•Communication Settings:对扫描中的延时、线程数量进行配置•Proxy Settings:代理设置vLogin/logout:对被测应用的登陆进行设置,可以采用录制回放的方式、也可以使用自动登陆的方式•configure a Test Policy: 配置测试测量,即想测试哪些漏洞。
四、Web安全体系测试一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手。
数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。
此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。
目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!注:对登陆帐户和密码进行加密,可在后台数据库查看是否进行了加密。
登录:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。
在进行登陆测试的时候,需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访问/下载等。
超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候,需要重新登录才能使用其功能。
SSL:越来越多的站点使用SSL安全协议进行传送。
SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。
SSL是利用公开密钥/私有密钥的加密技术。
(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。
SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。
进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。
服务器脚本语言:脚本语言是常见的安全隐患。
每种语言的细节有所不同。
有些脚本允许访问根目录。
其他只允许访问邮件服务器,但是经验丰富的黑客可以将服务器用户名和口令发送给他们自己。
找出站点使用了哪些脚本语言,并研究该语言的缺陷。
还要需要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。
最好的办法是订阅一个讨论站点使用的脚本语言安全性的新闻组。
注:黑客利用脚本允许访问根目录的这个安全隐患特性攻击网站。
这个网站包含了脚本代码(有允许访问根目录的特性)就可能有这个安全隐患。
日志文件:在服务器上,要验证服务器的日志是否正常工作,例如CPU的占用率是否很高,是否有例外的进程占用,所有的事务处理是否被记录等。
目录: WEB的目录安全是不容忽视的一个因素。
如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,这样会造成很大的风险和安全性隐患。
我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,将这种隐患降低到最小程度。
注:每个目录访问时有index.htm目的:通过首页中的登陆验证功能进行访问权限控制。
五、web安全测试的checklist1. 不登录系统,直接输入登录后的页面的url是否可以访问2. 不登录系统,直接输入下载文件的url是否可以下载,如输入http://url/download?name=file是否可以下载文件file3. 退出登录后按后退按钮能否访问之前的页面4. ID/密码验证方式中能否使用简单密码。
如密码标准为6位以上,字母和数字混合,不能包含ID,连续的字母或数字不能超过n位5. 重要信息(如密码,身份证号码,信用卡号等)在输入或查询时是否用明文显示;在浏览器地址栏里输入命令javascrīpt:alert(doucument.cookie)时是否有重要信息;在html源码中能否看到重要信息6. 手动更改URL中的参数值能否访问没有权限访问的页面。
如普通用户对应的url中的参数为l=e,高级用户对应的url中的参数为l=s,以普通用户的身份登录系统后将url中的参数e改为s来访问本没有权限访问的页面7. url里不可修改的参数是否可以被修改, 浏览器缓存:认证和会话数据不应该作为GET的一部分来发送,应该使用POST8. 上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行9. 注册用户时是否可以以'--,' or 1=1 --等做为用户名10. 传送给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符(','and 1=1 --,' and 1=0 --,'or 1=0 --)时是否可以正常处理11. 执行新增操作时,在所有的输入框中输入脚本标签(<scrīpt>alert("")</scrīpt>)后能否保存12. 在url中输入下面的地址是否可以下载:http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd13. 是否对session的有效期进行处理14. 错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等15. ID/密码验证方式中,同一个账号在不同的机器上不能同时登录16. ID/密码验证方式中,连续数次输入错误密码后该账户是否被锁定17. 新增或修改重要信息(密码、身份证号码、信用卡号等)时是否有自动完成功能(在form标签中使用autocomplete=off来关闭自动完成功能18.Email Header Injection(邮件标头注入)Email Header Injection:如果表单用于发送email,表单中可能包括“subject”输入项(邮件标题),我们要验证subject中应能escape掉“\n”标识。
•<!--[if !supportLists]--><!--[endif]-->因为“\n”是新行,如果在subject 中输入“hello\ncc:spamvictim@”,可能会形成以下Subject: hellocc: spamvictim@•<!--[if !supportLists]--><!--[endif]-->如果允许用户使用这样的subject,那他可能会给利用这个缺陷通过我们的平台给其它用户发送垃圾邮件。
19. Directory Traversal(目录遍历)(1)如何进行目录遍历测试?目录遍历产生的原因是:程序中没有过滤用户输入的“../”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。
测试方法:在URL中输入一定数量的“../”和“./”,验证系统是否ESCAPE 掉了这些目录跳转符。
(2)如何预防目录遍历?限制Web应用在服务器上的运行进行严格的输入验证,控制用户输入非法路径20. exposed error messages(错误信息)(1)如何进行测试?首先找到一些错误页面,比如404,或500页面。
验证在调试未开通过的情况下,是否给出了友好的错误提示信息比如“你访问的页面不存在”等,而并非曝露一些程序代码。
(2)如何预防?测试人员在进行需求检查时,应该对出错信息进行详细查,比如是否给出了出错信息,是否给出了正确的出错信息。
六、跨站点脚本攻击测试要点1.确定站点及其功能-- 与开发人员和PM 交流绘制一些简单的数据流图表,对站点上的页面及其功能进行描述。
此时,可以安排一些与开发人员和项目经理的会议来建立威胁模型。