99久久99久久免费精品蜜臀,天堂a中文在线,亚洲综合网站

blog已經轉移至github,大家請訪問 http://qaseven.github.io/

淺淡常見的WEB安全漏洞測試及驗證

【文件上傳漏洞】

　　1.對用戶上傳的文件沒有進行充分合理的驗證，導致被上傳木馬等惡意文件并執行

　　驗證方式可能有：客戶端JS檢測、服務器MIME類型檢測、服務器目錄路徑檢測、服務器文件擴展名檢測、服務器文件內容檢測。

　　常見的方式：服務器充分驗證文件類型及文件內容、服務器端重命名

　　其他限制：服務器端上傳目錄設置不可執行權限

　　【CSS漏洞】

　　例如input輸入框這種類型的測試：

　　http:/host/xss/example1.php?name = song <script>alert("hello")</script>

　　測試的時候也可以直接簡單點，輸入簡單的這些實體字符（例如：<>（）"），然后查看前臺的源代碼是否做轉義，如果沒有那么自己可以輸入任何的腳本都是有可能執行的。

　　Ps: CSS 繞過的方法，其實是很多的，一般我們可以根據后臺的返回來通過不同的方法繞過進行測試

　　【SQL注入攻擊】

　　相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

　　SQL注入:

　　還有所謂的命令注入：

　　黑盒類測試工具：

　　三、安全測試包含內容

　　一般來說，80%的安全測試都包含在這里面了：

　　簡單來看一下這類測試生成的測試報告，例如 acunetix web vulnerability scanner 工具掃描測試結果如下，我們可以針對不同等級的測試漏洞來選擇性的進行關注或者手工驗證嘗試。


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 如何進行Web服務的性能測試？利用drozer進行Android滲透測試 Appium Android Bootstrap源碼分析之命令解析執行 Fliptest—iOS 的應用A/B測試框架 iOS功能測試工具 Frank iOS單元測試框架Kiwi for iOS Appium Android Bootstrap之控件AndroidElement 移動應用測試框架—Calabash Android 簡介 Appium Server源碼分析之作為Bootstrap客戶端移植MonkeyRunner的圖片對比功能實現-Appium篇