51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1589|回复: 0
打印 上一主题 下一主题

常见web安全问题的测试关注点

[复制链接]
  • TA的每日心情
    无聊
    2024-9-27 10:07
  • 签到天数: 62 天

    连续签到: 1 天

    [LV.6]测试旅长

    跳转到指定楼层
    1#
    发表于 2018-3-7 14:56:16 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    先回顾一下今年来发生的由于互联网安全问题引发的事件

    ·2014年3月,携程网用户支付信息出现漏洞:漏洞泄露的信息包括用户的姓名、身份证号码、银行
    卡卡号、银行卡CVV码

    ·2014年5月,UC浏览器用户敏感数据泄漏的漏洞:只要用户通过UC浏览器搜索并登录人人、新浪
    微博等网站,其提交的用户信息和密码都有可能被黑客截取

    ·2014年5月,小米论坛存在用户资料泄露:泄露涉及800万小米论坛注册用户

    ·。。。。。

    那么造成这些问题的原因是什么呢?OWASP(The Open Web Application Security Project)的安全
    问题TOP10里,以下几个占比超过50%:

    sql注入:

    拖库

    通过技术手段,利用网站安全漏洞把服务器数据库中的数据全部或部分获取;网站越大,用户信息
    越多,拖库的影响越大,危害越大

    撞库

    很多用户在登录不同网站时为了图方便好记,往往喜欢用统一的用户名和密码,黑客把拖库取得的
    用户名及密码跟网络银行、支付宝、淘宝等有价值的网站进行匹配登录,这就是“撞库”

    爆破

    俗称“暴力破解”或“爆破”,对已知的用户名,使用密码字典库暴力尝试、破解用户密码;如果网站不
    限制密码重试次数,被爆破成功的概率较高

    ·这里的拖库,就是我们平时所说的sql注入,利用前端和后台的疏忽,将后台数据库中的数据全部拖出

    解决办法:

    1. 不要信任用户的输入,对用户的输入进行校验

    正则校验、长度限制、特殊字符转码(' --)

    2. 不要使用动态拼接SQL

    参数化sql、类型判定

    3. 不要使用管理员权限的数据库连接

    为每个应用开放有限的独立权限

    4. 数据库机密信息不要明文存储 加密、hash

    5. 异常信息不要直接返回给用户

    使用自定义的错误信息进行包装

    跨站脚本攻击(Cross Site Scripting)

    这里解释一下,因为跨站脚本攻击的缩写是CSS,为了与CSS区分,所以这里缩写为XSS

    攻击者向web页面里插入恶意html代码 用户浏览该页之时,嵌入其中的html代码会被执行 通常以获
    取用户cookie为目的 注入内容以javascript为主

    xss又分反射型和存储型,两者原理类似

    反射型xss的特点是请求即执行;而存储型xss的特点是先存储,再执行;

    大概过程可以用一张图概括


    解决办法:

    内容过滤:过滤关键字 "javascript..."

    转码:分号、<>...

    Cookie属性:Secure、http-only

    失效的身份认证和会话管理

    ·这类问题细分起来种类繁多,举几个有代表性的吧

    web应用在开发时,可能存在为了实现需求而自定义身份认证方式或会话管理方式,例:会话id存在
    url中,这样如果直接copy别人的url,那么可以直接使用这个人的账户信息;用户名、密码等信息coo
    kie未设置过期时间,那么当他人登录同一客户端时,也可能会直接使用他人账户;

    解决办法:

    避免未经授权访问会话状态

    限制会话寿命

    对身份验证 cookie 的内容进行加密

    不要在网络上以纯文本形式发送密码




    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 23:44 , Processed in 0.079813 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表