51Testing软件测试论坛

标题: web安全性测试的话题---------很吸引人的。 [打印本页]

作者: zztest_boy 时间: 2005-7-11 16:32
标题: web安全性测试的话题---------很吸引人的。
这里有没有好心的测试高手给我提供些web安全性测试是资料。谢谢啊！:

[ Last edited by zztest_boy on 2005-7-11 at 16:34 ]

作者: rien2128 时间: 2005-7-20 11:26
真是很吸引，把我吸进来了。可惜我不懂，要不然…………嘿嘿！！

作者: fflastjay 时间: 2005-9-12 19:18
我晕...................

作者: thomaszhong 时间: 2005-9-12 21:08
我也对这个比较感兴趣，关注

作者: condorII 时间: 2005-9-25 10:33
确实很吸引人，进来以后发现，上当了...

作者: Sueshen 时间: 2005-10-13 18:21
标题: 我也上当了...
.....

作者: tonny1104 时间: 2005-11-10 13:34
标题: 晕~~~~~~~
标题要定义准确噢

作者: 莹莹.@ 时间: 2005-11-11 09:51
好标题！

作者: null2 时间: 2005-11-11 09:57
非常吸引人......

作者: 迎风 时间: 2005-11-11 11:00
嗯，同样关注中，不过除了WEB，基于C/S结构下的安全测试同样非常重要，希望能进一步的了解它们～

作者: zhangyulin_81 时间: 2005-11-16 17:25
关注中

作者: jennie98 时间: 2005-11-22 15:56
吸引进来了，可惜没答案阿

作者: diana2810 时间: 2005-11-23 11:41
没有做过这方面的测试，不过也很感兴趣。
关注中。

作者: lxhcba 时间: 2005-11-24 18:40
关注

作者: shark_jr 时间: 2005-12-15 17:34
上当。

作者: youyanfeng 时间: 2005-12-16 12:41
我也感兴趣哦！有的话通知一声

作者: Kings 时间: 2005-12-21 18:08
关注ing..........

作者: nana430 时间: 2005-12-25 23:49
又一个上当的~~~~~~~……
^0^!

作者: qi_cy 时间: 2005-12-26 09:40
Web应用系统的安全性测试区域主要有：

（1）现在的Web应用系统基本采用先注册，后登陆的方式。因此，必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登陆而直接浏览某个页面等。
（2）Web应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。
（3）为了保证Web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。
（4）当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。
（5）服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还要测试没有经过授权，就不能在服务器端放置和编辑脚本的问题。

作者: qi_cy 时间: 2005-12-26 09:41
以上是自己查找的资料,我自己理解的不是很透彻,发出来大家共享,讨论

作者: Yr-Test 时间: 2005-12-28 17:15
可以用黑客工具,对其进行测试,找其漏洞.........

作者: pierre0505 时间: 2006-1-12 13:05
暂时没有到这个程度

作者: sbdhqcl_i 时间: 2006-1-12 18:06
极度上当了

作者: 93326736 时间: 2006-1-18 15:14
补充一点：有关COOKIES技术的应该是WEB安全测试的重点

作者: Rina 时间: 2006-2-27 11:36
嘿.我正在写这方面的文档

作者: wangdircpu1 时间: 2006-3-1 21:28
web 应用系统的安全性测试可以参考国家标准BG 18336，该标准等同于国际标准CC，现在国内现在也在做这个方面的研究，中国信息安全产品测评中心，好象有一个新的标准即将出台，名字叫做信息系统安全评估准则，web 应用系统的安全性测试也可以参考一下

作者: blacktulip 时间: 2006-3-13 13:52
标题: 非常感谢qi_cy 朋友
非常感谢qi_cy 朋友

作者: gentleh 时间: 2006-3-30 11:11
??????????????

作者: name2001 时间: 2006-3-30 14:25
好吸引人哦～~

作者: chen803 时间: 2006-3-31 10:17
吸引进来了，可惜没答案阿

作者: xiaoyuwei123 时间: 2006-4-6 17:28
虽然是骗进来的，不过还是感谢qi_cy

作者: sun_yin_ai2004 时间: 2006-4-7 12:10
很吸引人

作者: kevin_he 时间: 2006-4-25 11:40
可以建一个这样的专栏或是群。

作者: 自由的天空 时间: 2006-5-17 15:39
正在找这方面的资料，可是一看很吸引就进来了，可惜没有答案！

等待各位高手的答案啊！

作者: xa-tester 时间: 2006-6-5 10:43
主要是两点：
1/访问权限。能够正确按照划分的用户帐号权限安全访问其功能；
2/安全漏洞扫描。操作系统已公布的安全漏洞是否已做好安全措施，能否防御常用漏洞扫描攻击。
我想也就是这两方面的内容，

作者: qwdingyu 时间: 2006-6-15 11:39
继续关注

作者: hwrong 时间: 2006-6-19 16:05
嘻嘻

作者: 8195612 时间: 2006-6-20 14:46
等待

作者: xingfo 时间: 2006-6-20 14:57
今天也关注到这个问题,
关于非法进入系统页面的；页面可以打开属性拷贝地址重新打开,不知道怎么限制这个问题。
感觉上用session不知道可不可以，（用JSP开发的系统）

作者: creat7151 时间: 2006-6-21 18:07
希望哪位达人给个答案或相当资料。

作者: Alexyang 时间: 2006-6-28 15:27
这个话题不错，关注一下

作者: jiepeach 时间: 2006-7-19 17:47
哈哈，大家都是最好的测试工程师

作者: luanhelh 时间: 2006-7-21 14:50
安全测试看你要测试的网站是编码什么语言的，就去看语言的安全基础的书。

作者: stardust 时间: 2006-7-21 18:34
LZ太会起标题了，无限佩服中.......
这个话题的确很吸引人。
关于安全不应该只局限于页面。服务器漏洞，数据库注入等也应被考虑到当中。
当然，这些东西需要系统工程师，DBA的协助。
那位高人能把这方面整理一下？

作者: llooslam 时间: 2006-9-15 21:09
被骗了

作者: jiepeach 时间: 2006-9-28 14:12
还有：1、资源泄漏包括内存泄漏、句柄泄漏和GDI泄漏；2、数据完整性检测；其中句柄泄漏和GDI泄漏搞不清楚，请高手指点

作者: fuxuanyue 时间: 2006-10-9 19:11
标题: 严重关注中！！
严重关注中！！！！！！！

作者: qi_cy 时间: 2006-10-10 10:44
我们目前在web测试中涉及到安全性的问题比较少，这些基本都是公司系统设计师考虑的问题（不过我也希望考虑，可是目前水平有限^_^）
工作中安全性方面主要考虑到的问题有以下几点，希望大家多多讨论，多给点建议：
1.无效用户名和密码的登录
2.不登录是否可以查看非会员页面
3.登录之后的权限问题：一般会员和vip会员的权限
4.超时是否自动退出
5.退出之后，浏览器回退按钮是否可以回到登录页面
6.编辑表单是否屏蔽一些恶意代码（htlm js 等）

作者: fuxuanyue 时间: 2006-10-10 11:35
标题: 各位大大，这么吸引人
各位大大，这么吸引人，只是没有多少实质内容，请多加加菁华！

作者: asai-oyh 时间: 2007-2-12 22:31
标题吸引人哇....哎

作者: aliceblue 时间: 2007-5-28 15:14
你真有一套。把大家吸引来！

作者: cnnewstart 时间: 2007-7-8 21:42
关注中

作者: wangrong 时间: 2008-1-3 12:54
我正在找这方面的资料，等待高手出现。。。

作者: 阿哑 时间: 2008-1-18 13:49
标题: 楼主可以去子论坛查找相关资料
web安全性测试，51testing有其相关子论坛呢。

作者: zhangj8826 时间: 2008-3-4 13:31

作者: jiyan111 时间: 2008-3-10 13:41
真的很吸引人啊。。。。。

作者: hellen_ma 时间: 2008-3-11 16:46

作者: 腊梅花 时间: 2008-3-17 11:20
呵呵

作者: 腊梅花 时间: 2008-3-17 11:21
呵呵

作者: 阿七 时间: 2008-3-17 16:43
bsbsbsbsbsbsbbsbsbsbsbsbs

作者: pangda 时间: 2008-3-25 16:33
看来上当的人不少。来点真东西啊

作者: bjsss 时间: 2008-3-26 13:41
我也对这方面感兴趣的

作者: 阿七 时间: 2008-3-26 14:42
标题党 - -

作者: gucciyoung 时间: 2008-9-14 10:59
真的把我吸进来了然后发现什么都没有

作者: 七格格 时间: 2008-11-14 18:10
ME也不懂正想学呀

作者: marken 时间: 2009-5-19 10:19
本人正在学习这方面的东西，把自己整理资料发出来，免得发臭了。

作者: marken 时间: 2009-5-19 10:20
标题: 怎么不能带附件
跨站脚本（Cross Site Scripting）攻击是指在远程WEB页面的HTML代码中插入恶意的JavaScript，VBScript，ActiveX，HTML，或Flash等脚本，窃取浏览此页面的用户的信息，改变用户的设置，破坏用户数据的攻击技术。跨站脚本攻击在多数情况下不会对服务器和WEB程序的运行造成影响，但对客户端的安全构成严重的威胁，这主要是由于服务器对用户提交的数据过滤不完整造成的。

SQL注入：——所谓的SQL注入攻击就是利用SQL语句通过网页（通常是80端口）向web服务器发送特定的请求以期获得服务器上的某些敏感信息或者是执行某些越权操作的一种攻击方式。
SQL注入漏洞存在的条件——存在SQL注入漏洞的网页通常应该满足两个条件：动态页面（静态的HTML网页是不存在这个风险的）和数据库调用。因此可能存在SQL注入漏洞的网站也应该满足两个条件，一是使用动态的网页脚本语言开发，二是后台有支持SQL语句的数据库存在。目前比较常规的搭配有ASP+Access、ASP+SQLServer、PHP+Mysql、JSP+Oracle等。
什么样的网站可能存在风险？}{
使用了网上开放源代码的程序搭建的动态网站。这种网站存在SQL注入的风险最大，因为公开的源码非常容易被人发现注入点从而进行攻击。
2、委托其他人开发的动态网站代码，而开发人目前已经不再对网站的代码进行更新。这类网站也存在很大注入风险。 3、管理员自己开发的网页代码，并且自己维护。这类站点的风险较小，但是依然存在有被SQL注入攻击的可能。
防火墙能否防范SQL注入攻击？
不能，因此这类攻击都是通过合法的通道提交的，防火墙是无法判断这类攻击是真实的访问请求还是恶意攻击的。
工具：Appscan（首要）、Acunetix Web Vulnerability Scanner、HttpAnalyzerFull、TamperIE

作者: helina168 时间: 2009-7-9 20:47
LZ太强了，我也上当了！

作者: houzeal 时间: 2009-7-10 12:34
哈哈～　　　

作者: eeslook 时间: 2009-7-10 12:53
哎，没有看到吸引的内容啊！
标题党！！

作者: huihuike 时间: 2009-7-31 09:58
我也很想了解安全性测试方面的知识

作者: hairet 时间: 2009-9-14 16:39
顶下67楼，有潜力。。。

作者: foxzhang0 时间: 2009-9-15 15:31
标题: 标题党，上当了
标题党，上当了

作者: fsqlovehmx 时间: 2009-11-11 17:43

作者: montella 时间: 2010-2-8 17:04
关注中，很希望有大牜进入分享

作者: peag 时间: 2010-2-20 08:53
标题党

作者: 小不点蜗牛 时间: 2010-3-7 21:48
喔，明白

作者: 小不点蜗牛 时间: 2010-3-7 21:57
被骗中

作者: ally_young 时间: 2010-3-25 11:56
这个标题真是太吸引人了，上当了。

作者: flaw0r 时间: 2010-4-8 18:23
建议多看下黑客防线

作者: geniusky 时间: 2010-4-29 11:46
又一个被骗诞生了

作者: songdejie 时间: 2011-8-17 16:58
又一个被骗诞生了

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)