51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 22832|回复: 53
打印 上一主题 下一主题

Web安全性测试的一些知识

[复制链接]
  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2007-1-11 17:01:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    2#
     楼主| 发表于 2007-1-11 17:07:35 | 只看该作者

    1.部署与基础结构

    检验底层网络和主机基础结构提供给应用程序的安全设置,然后检验运行环境要求的所有限制。考虑部署的拓扑结构以及中间成应用程序服务器,外围区域以及内部防火墙对设计的影响。检验下列问题,确定可能存在的部署和基础结构问题。

    1.网络是否提供了安全的通信。
    2.部署拓扑结构是否包含内部防火墙。
    3.部署拓扑结构中是否包含远程应用程序服务器。
    4.基础结构安全性要求的限制是什么。
    5.目标环境支持怎样的信任级别。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    3#
     楼主| 发表于 2007-1-11 17:08:11 | 只看该作者
    书上抄来的,我完全不懂
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2007-1-11 17:10:58 | 只看该作者
    完全不懂也来帮忙顶,精神可加!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    5#
     楼主| 发表于 2007-1-11 17:13:28 | 只看该作者
    看你这么可怜的发广告,所以来看下啊
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    6#
     楼主| 发表于 2007-1-12 11:29:35 | 只看该作者

    2 输入验证

    常见的输入验证漏洞。
    漏洞
    影响
    超文本标记语言(HTML)输出流中有未经验证的输入
    应用程序易受XSS攻击
    用于生成SQL查询的输入未经验证
    应用程序易受SQL注入攻击
    依赖客户端的验证
    客户端的验证很容易被忽略
    使用输入文件名、URL或用户名制定安全决策
    应用程序易出现规范化错误并导致安全漏洞
    对恶意输入仅采用应用程序筛选器
    这基本上不可能达到目的。原因是可能的恶意攻击范围太大。应用程序应对输入进行约束、拒绝和净化。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2007-1-16 09:52:22 | 只看该作者
    这书还再么,兔兔,给我发一份
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    8#
     楼主| 发表于 2007-1-16 13:29:22 | 只看该作者

    3 身份验证

    常见的身份验证漏洞。
    漏洞
    影响
    弱密码
    增加了破解密码和词典攻击的风险
    配置文件中使用明文凭据
    可访问服务器的内部人员(或利用主机漏洞下载配置文件的攻击者)都能直接访问凭据
    通过网络传递明文凭据
    攻击者可通过监控网络来盗取身份验证凭据并窃取身份
    账户的特权过强
    与进程和账户泄漏相关的风险增加
    长会话
    与会话劫持相关的风险增加
    混用个性化数据的身份验证数据
    个性化数据适于永久的cookie,而身份验证cookie不应是永久的
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2007-1-19 16:36:06 | 只看该作者

    回复 #8 futogether 的帖子

    谢谢 分享!能不能把书发我一份,kuangwork@126.com
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10#
    发表于 2007-1-22 10:14:08 | 只看该作者
    原帖由 futogether 于 2007-1-11 17:08 发表
    书上抄来的,我完全不懂


    我也看出来了..
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    11#
     楼主| 发表于 2007-1-22 10:14:12 | 只看该作者
    不好意思,这是我照书上一个字一个字打出来的,没有电子版,呵呵~~

    等我什么时候有空,我打出来,再上传好了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    12#
     楼主| 发表于 2007-1-22 14:20:59 | 只看该作者

    4 授权

      常见的授权漏洞。
    漏洞
    影响
    依赖单个网关守卫
    如果网关守卫被忽略或配置不正确,用户能不经授权进行访问
    不能根据应用程序身份锁定系统资源
    攻击者可强制应用程序访问受限的系统资源
    不能将数据库访问限定于特定存储过程
    攻击者可利用SQL注入攻击来检索、操作或毁坏数据
    特权隔离不充分
    没有责任或能力对每个用户进行授权
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    13#
     楼主| 发表于 2007-1-22 14:22:34 | 只看该作者

    5 配置管理

    常见的配置管理漏洞。
    漏洞
    影响
    不安全的管理界面
    未经授权的用户可重新配置应用程序,并访问敏感数据
    不安全的配置存储
    未经授权的用户可访问配置存储并获取机密信息(如账户名、密码和数据库连接详细信息)
    明文配置数据
    可登录服务器的所有用户都能查看敏感的配置数据
    管理员太多
    这使管理员的审核和评价工作变得很困难
    进程账户和服务账户的特权过高
    这可导致特权提升攻击
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-5-11 08:52
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    14#
    发表于 2007-1-22 15:17:17 | 只看该作者
    Web安全性测试
    数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!

    登录:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件 需要登录后才能访问/下载等。

    超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候,需要重新登录才能使用其功能。

    SSL:越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。

    服务器脚本语言:脚本语言是最常见的安全隐患,如有些脚本语言允许访问根目录,经验丰富的黑客可以通过这些缺陷来攻击和使用服务器系统,因此,脚本语言安全性在测试过程中也必须被考虑到。

    日志文件:在服务器上,要验证服务器的日志是否正常工作,例如CPU的占用率是否很高,是否有例外的进程占用,所以的事务处理是否被记录等。

    目录:WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,将这种隐患降低到最小程度。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    15#
     楼主| 发表于 2007-1-22 15:29:43 | 只看该作者
    笑笑也无聊的开始打字了啊
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-5-11 08:52
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    16#
    发表于 2007-1-22 15:33:58 | 只看该作者
    什么啊,这叫大家一起交流知识啊
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2007-1-22 15:50:52 | 只看该作者
    支持笑笑,精神可嘉!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    18#
     楼主| 发表于 2007-1-24 14:57:21 | 只看该作者

    6 敏感数据处理中的常见漏洞

    漏洞
    影响
    在不必要的情况下存储机密信息
    与不存储机密信息相比,这首先大大增加了安全风险
    在代码中存储机密数据
    如果代码位于服务器,攻击者可能下载它。在二进制进程程序集中,机密信息是可见的
    以明文形式存储机密信息
    任何能登录服务器的人都可看见机密数据
    在网络中以明文传递敏感数据
    窃听者可通过监控网络来获取并篡改这些数据
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    19#
     楼主| 发表于 2007-1-24 14:57:47 | 只看该作者

    7 常见的会话管理漏洞

    漏洞
    影响
    通过未加密的通道传递会话标识符
    攻击者可捕获会话标识符来窃取身份
    会话生生存期延长
    这将增加会话劫持和重播攻击的风险
    会话状态存储不安全
    攻击者可访问用户的私有会话数据
    查询字符串中的会话标识符
    可通过在客户端轻松修改会话标识符来窃取身份,然后作为另一用户访问应用程序。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-18 10:14
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    20#
     楼主| 发表于 2007-1-24 14:58:09 | 只看该作者

    8 常见的加密漏洞

    漏洞
    影响
    使用自定义加密
    安全性总是低于经过测试和考验的由系统平台提供的加密
    使用错误的算法、或密匙过小
    使用较新的算法可提高安全性,使用较大的密匙也可提高安全性
    不能确保加密密匙的安全性
    加密数据的安全性与加密密匙的安全性同等重要
    在延长的时间段使用同一密匙
    如果长时间使用,静态密匙很容易被发现
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 14:10 , Processed in 0.094835 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表