51Testing软件测试论坛

标题: {有奖问答}您认为Web 应用有哪些安全隐患? [打印本页]
作者: fishy    时间: 2008-2-26 11:31
标题: {有奖问答}您认为Web 应用有哪些安全隐患?
{有奖问答}您认为Web 应用有哪些安全隐患?
作者: ivaniccy    时间: 2008-2-26 15:02
Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段。

WASC 的分类。
作者: cjh0901    时间: 2008-3-11 09:51
Authentication (验证):用来确认某用户、服务或是应用身份的攻击手段。
Authorization (授权):用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks (客户侧攻击):用来扰乱或是探测Web站点用户的攻击手段。
Command Execution (命令执行):在Web站点上执行远程命令的攻击手段。
Information Disclosure (信息暴露):用来获取Web站点具体系统信息的攻击手段。
Logical Attacks (逻辑性攻击):用来扰乱或是探测Web应用逻辑流程的攻击手段。
作者: kevin_swpi    时间: 2008-3-11 12:54
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见、比较常见和有点常见这种级别的。我相信从Web应用安全角度来说,会比你从网上搜的要全面的多。以下是这些安全性问题的列表:
  1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
  2、SQL注入攻击(SQL injection)
  3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
  4、目录遍历(Directory traversal)
  5、文件包含(File inclusion)
  6、脚本代码暴露(Script source code disclosure)
  7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
  8、跨帧脚本攻击(Cross Frame Scripting)
  9、PHP代码注入(PHP code injection)
  10、XPath injection
  11、Cookie篡改(Cookie manipulation)
  12、URL重定向(URL redirection)
  13、Blind SQL/XPath injection for numeric/String inputs
  14、Google Hacking
  ......
作者: happygod    时间: 2008-3-17 19:25
Web Application Security ConsortiumWASC将Web应用安全威胁分为如下六类:
        Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
        Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
        Client-Side Attacks(客户端攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
        Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
        Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
        Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段。
作者: nst    时间: 2008-3-18 15:46
分析得不错啊



欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2