51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1676|回复: 0
打印 上一主题 下一主题

[原创] 安全性测试

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2011-9-26 20:55:29 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 changxiaofang 于 2011-9-26 21:59 编辑

安全性测试
1、认证与授权,用于验证用户的登录和权限是否正常。
2、session与cookie,用于验证Session和Cookie不会导致信息泄露和认证错误。
3、文件上传漏洞,避免非法上传文件使服务器安全受到攻击。
4、SQL注入,用于验证系统不会因为非法输入而将SQL语句的运行顺序进行修改,导致信息泄露甚至导致数据库内容被篡改。
5、XSS跨站攻击,用于验证系统不会因为非法输入脚本而执行导致其他客户端受到威胁。
6、DOS(分布式拒绝服务攻击),是指利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的请求,甚至直接导致服务器崩溃。
7、敏感信息由于错误消息而泄露,如果由于用户的输入不合法而抛出错误信息,这类错误信息必须是处理过的,而不能将原始异常信息抛出,这样容易暴露很多服务器端关键信息。
8、使用日志系统将各种操作进行记录,便于跟踪各种可能的安全攻击形式。
9、使用javascript对客户端的输入进行验证的同时,我们在服务器端脚本中也需要同步进行验证,避免因为使用代码或工具向服务器直接发送数据包而绕开javascript验证这一层时的安全风险。


我就尝试一下,也算是对51的论坛做一个小小的测试,(*^__^*) 嘻嘻……
    <form >
       <input type="text" />
       <input type="submit" value="提交" />
      </form>
51的论坛肯定不会出现那种比较低级的安全性问题的,做测试的,嘿嘿

我也试了一下通过SQL注入能不能登录成功,事实证明,不能

SQL注入?这个挺好的,跟我一组做项目的组长用ajax技术对存入数据库之前的密码进行了加密。
使用同样的web服务器,同样的数据库,同样的数据,输入相同的用户名和密码,结果他可以成功进入主界面,而我不则会一直提示用户名或者密码不正确。结果我问他他也说不出是为什么,不知道能不能通过SQL注入成功登录?有没有高手遇见过类似的情况啊?我也学习过开发,但是ajax技术我没有的学习过,还请高手指点,谢谢!
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-26 04:55 , Processed in 0.072990 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表