Web常见安全问题以及测试方法

1 Star2 Stars (No Ratings Yet)
Loading...
212 浏览

Web安全问题是我们每个人应该紧绷的神经,对于我们测试人员来说,每个活动需要做到手动安全测试加自动化安全测试相结合。

常见的web安全问题有:

SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。

对于手动安全测试来说,一般常用的有三点:

1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;

2、在登录输入框的地方输入‘ or 1=1–或 “ or 1=1–等看是否有SQL注入;

3、在注重SQL注入的同时,一般在有输入框的地方输入对于自动化安全测试来说:

测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)

1、在使用之前务必确认自己绑定的Host;

2、配置URL、开发环境、错误显示类型;

3、结果保存后可根据提示的问题类型和解决建议进行分析。

Web安全测试通常要考虑的测试点:

1、输入的数据没有进行有效的控制和验证;

2、用户名和密码;

3、直接输入需要权限的网页地址可以访问;

4、认证和会话数据作为GET的一部分来发送;

5、隐藏域与CGI参数;

6、上传文件没有限制;

info.

7、把数据验证寄希望于客户端的验证;

8、跨站脚本(XSS);

9、注入式漏洞(SQL注入);

10、不恰当的异常处理;

11、不安全的存储;

12、不安全的配置管理;

13、传输中的密码没有加密; –

14、弱密码,默认密码;

15、缓冲区溢出;

16、拒绝服务; 加国华人网上家园 –

更多Web测试相关技术及资讯,请关注:http://www.newjob123.com/index.php/zh/it-tutoring/software-testing/web-tw.html?channel=51wenzhang 致电咨询:416-644-1998

阅读其他最新创业天地: