51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 5815|回复: 5
打印 上一主题 下一主题

{有奖问答}您认为Web 应用有哪些安全隐患?

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-2-26 11:31:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
{有奖问答}您认为Web 应用有哪些安全隐患?
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2008-2-26 15:02:58 | 只看该作者
Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段。

WASC 的分类。
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-3-11 09:51:39 | 只看该作者
Authentication (验证):用来确认某用户、服务或是应用身份的攻击手段。
Authorization (授权):用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks (客户侧攻击):用来扰乱或是探测Web站点用户的攻击手段。
Command Execution (命令执行):在Web站点上执行远程命令的攻击手段。
Information Disclosure (信息暴露):用来获取Web站点具体系统信息的攻击手段。
Logical Attacks (逻辑性攻击):用来扰乱或是探测Web应用逻辑流程的攻击手段。
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-3-11 12:54:13 | 只看该作者
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见、比较常见和有点常见这种级别的。我相信从Web应用安全角度来说,会比你从网上搜的要全面的多。以下是这些安全性问题的列表:
  1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
  2、SQL注入攻击(SQL injection)
  3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
  4、目录遍历(Directory traversal)
  5、文件包含(File inclusion)
  6、脚本代码暴露(Script source code disclosure)
  7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
  8、跨帧脚本攻击(Cross Frame Scripting)
  9、PHP代码注入(PHP code injection)
  10、XPath injection
  11、Cookie篡改(Cookie manipulation)
  12、URL重定向(URL redirection)
  13、Blind SQL/XPath injection for numeric/String inputs
  14、Google Hacking
  ......
回复 支持 反对

使用道具 举报

该用户从未签到

5#
发表于 2008-3-17 19:25:26 | 只看该作者
Web Application Security ConsortiumWASC将Web应用安全威胁分为如下六类:
        Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
        Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
        Client-Side Attacks(客户端攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
        Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
        Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
        Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段。
回复 支持 反对

使用道具 举报

该用户从未签到

6#
发表于 2008-3-18 15:46:45 | 只看该作者
分析得不错啊
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-22 23:08 , Processed in 0.066833 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表