Web安全是我們
測(cè)試組一直以來(lái)作為和
性能測(cè)試并駕齊驅(qū)的兩個(gè)重點(diǎn)。開(kāi)發(fā)的過(guò)程中還需要著重注意,該轉(zhuǎn)義的地方轉(zhuǎn)義;該屏蔽的地方屏蔽,該過(guò)濾的地方過(guò)濾等等。年底又到了,勢(shì)必又有大批的發(fā)號(hào)抽獎(jiǎng)之類(lèi)的活動(dòng)開(kāi)發(fā)、上線,在這個(gè)過(guò)程中,安全問(wèn)題是我們每個(gè)人應(yīng)該緊繃的神經(jīng),對(duì)于我們測(cè)試人員來(lái)說(shuō),每個(gè)活動(dòng)需要做到手動(dòng)
安全測(cè)試加自動(dòng)化安全測(cè)試相結(jié)合。
常見(jiàn)的web安全問(wèn)題有:
SQL注入、跨站點(diǎn)腳本攻擊、跨站點(diǎn)偽造請(qǐng)求、目錄遍歷、郵件表頭注入、頁(yè)面錯(cuò)誤信息等。
對(duì)于手動(dòng)安全測(cè)試來(lái)說(shuō),一般常用的有三點(diǎn):
1、URL有參數(shù)的,手動(dòng)修改參數(shù),看是否得到其他用戶的信息和相關(guān)頁(yè)面;
2、在登錄輸入框的地方輸入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;
3、在注重SQL注入的同時(shí),一般在有輸入框的地方輸入
對(duì)于自動(dòng)化安全測(cè)試來(lái)說(shuō):
測(cè)試組目前使用的安全測(cè)試工具為
IBM的AppScan(當(dāng)然,是破解版,34上已經(jīng)放過(guò)該工具的安裝包)
1、在使用之前務(wù)必確認(rèn)自己綁定的Host;
2、配置URL、開(kāi)發(fā)環(huán)境、錯(cuò)誤顯示類(lèi)型;
3、結(jié)果保存后可根據(jù)提示的問(wèn)題類(lèi)型和解決建議進(jìn)行分析。
Web安全測(cè)試通常要考慮的測(cè)試點(diǎn):
1、輸入的數(shù)據(jù)沒(méi)有進(jìn)行有效的控制和驗(yàn)證
2、用戶名和密碼
3、直接輸入需要權(quán)限的網(wǎng)頁(yè)地址可以訪問(wèn)
4、認(rèn)證和會(huì)話數(shù)據(jù)作為GET的一部分來(lái)發(fā)送
5、隱藏域與CGI參數(shù)
6、上傳文件沒(méi)有限制
7、把數(shù)據(jù)驗(yàn)證寄希望于客戶端的驗(yàn)證
8、跨站腳本(XSS)
9、注入式漏洞(SQL注入)
10、不恰當(dāng)?shù)漠惓L幚?/div>
11、不安全的存儲(chǔ)
13、傳輸中的密碼沒(méi)有加密
14、弱密碼,默認(rèn)密碼
15、緩沖區(qū)溢出
16、拒絕服務(wù)
