安全测试需要注意的十大方向
1.sql注入在通常参数的后面附带一个sql查询语句
2.失效的身份认证和会话管理
比如用户身份认证退出、密码管理、超时、记住我、秘密问题、帐户更新,登录等等。因为每一个实现都不同,要找
出这些漏洞有时会很困难。
3.跨站脚本 (XSS,其中XSS有反射式和保存式(存储式),基于DOM的XSS漏洞)
其中跨站脚本最常用的是程序员编写代码时不正确的拼接javascript或者是json字符串所造成的.
4.服务器的暴露
网站服务器的真实IP也就是通常所说的服务器IP直接暴露
5.直接显示网站目录或者是安全配置错误
服务器的配置信息和部署信息等有问题或者漏洞
6.敏感信息泄露
很多情况下登录情况下最容易泄露敏感信息,敏感信息大多数情况下建议加密.
7.功能级访问控制缺失
功能访问时未在服务器端执行相同的访问控制检查.
8.网站请求伪造 CSRF
其实就是依赖web浏览器的,被混淆过的代理人攻击,比如发送一个链接,受害者点击链接后,并在其不知情的情况下进行
授权,导致程序认为是受害者的合法请求
9.使用已知漏洞组件
建议立即升级系统,软件或者已有的组件漏洞,
10.未验证的重定向和转发
利用转发和重定向到其他网页的web应用程序和网站,用来获得用户的身份等敏感信息.
页:
[1]
