51Testing软件测试论坛

标题: 安全测试需要注意的十大方向 [打印本页]

作者: 阿蛮的开心姐 时间: 2018-3-26 14:57
标题: 安全测试需要注意的十大方向
1.sql注入

在通常参数的后面附带一个sql查询语句

2.失效的身份认证和会话管理

比如用户身份认证退出、密码管理、超时、记住我、秘密问题、帐户更新,登录等等。因为每一个实现都不同，要找
出这些漏洞有时会很困难。

3.跨站脚本 (XSS,其中XSS有反射式和保存式(存储式),基于DOM的XSS漏洞)

其中跨站脚本最常用的是程序员编写代码时不正确的拼接javascript或者是json字符串所造成的.

4.服务器的暴露

网站服务器的真实IP也就是通常所说的服务器IP直接暴露

5.直接显示网站目录或者是安全配置错误

服务器的配置信息和部署信息等有问题或者漏洞

6.敏感信息泄露

很多情况下登录情况下最容易泄露敏感信息,敏感信息大多数情况下建议加密.

7.功能级访问控制缺失

功能访问时未在服务器端执行相同的访问控制检查.

8.网站请求伪造 CSRF

其实就是依赖web浏览器的,被混淆过的代理人攻击,比如发送一个链接,受害者点击链接后,并在其不知情的情况下进行
授权,导致程序认为是受害者的合法请求

9.使用已知漏洞组件

建议立即升级系统,软件或者已有的组件漏洞,

10.未验证的重定向和转发

利用转发和重定向到其他网页的web应用程序和网站,用来获得用户的身份等敏感信息.

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)