设为首页收藏本站
开启辅助访问 软件测试门户软件测试培训软件测试论坛测试解决方案文章资料精选软件测试博客软件测试招聘

51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

51Testing软件测试论坛 »软件测试论坛 [管理工具] [安全测试工具] {有奖问答}常见的 Web 应用攻击有哪些?
返回列表 发新帖
查看: 6368|回复: 9
打印 上一主题 下一主题

{有奖问答}常见的 Web 应用攻击有哪些?

[复制链接]
fishy

该用户从未签到
跳转到指定楼层
1#
发表于 2008-2-26 11:32:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
{有奖问答}常见的 Web 应用攻击有哪些?
Media, Screen
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
微信
收藏收藏

相关帖子

【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
回复

使用道具 举报

ivaniccy

该用户从未签到
2#
发表于 2008-2-26 14:52:05 | 只看该作者
跨网站脚本攻击
注入攻击
恶意文件执行
不安全对象引用  
伪造跨站点请求  
信息泻露和不正确的错误处理  
被破坏的认证和 Session 管理 。
不安全的木马存储  
不安全的通讯  
URL访问限制失效
:lo

[ 本帖最后由 ivaniccy 于 2008-2-26 14:58 编辑 ]
回复 支持 反对

使用道具 举报

fly_3118

该用户从未签到
3#
发表于 2008-3-6 16:21:23 | 只看该作者
跨站点脚本攻击 (XSS)
cookie 重放攻击
代码注入
会话攻击
网络侦听
信息泄漏
标识欺骗
参数操作
【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
回复 支持 反对

使用道具 举报

cjh0901

该用户从未签到
4#
发表于 2008-3-11 09:24:17 | 只看该作者
# “ 跨站点脚本攻击 ”
# “ 注入缺陷攻击 ”
# Malicious File Execution (恶意文件执行);
# Insecure Direct Object Reference (不安全的直接对象引用);
# Cross-Site Request Forgery (跨站点的请求伪造);
# Information Leakage and Improper Error Handling (信息泄漏和不正确的错误处理);
# Broken Authentication & Session Management (损坏的认证和 Session 管理);
# Insecure Cryptographic Storage (不安全的密码存储);
# Insecure Communications (不安全的通信);
# Failure to Restrict URL Access (未能限制 URL 访问)

[ 本帖最后由 cjh0901 于 2008-3-11 09:52 编辑 ]
回复 支持 反对

使用道具 举报

gxb153

该用户从未签到
5#
发表于 2008-3-12 23:24:49 | 只看该作者
一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL 注入,跨站脚本攻击等。常见的针对Web 应用的攻击有:
AppRock 保护应用安全的专家 WHITE PAPER
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码
让服务器执行溢出堆栈中的恶意指令
Cookie假冒——精心修改cookie数据进行用户假冒
认证逃避——攻击者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感
数据
强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
拒绝服务攻击——构造大量的非法请求,使Web服务器不能相应正常用
户的访问
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息
SQL 注入——构造SQL 代码让服务器执行,获取敏感数据

[ 本帖最后由 gxb153 于 2008-3-12 23:27 编辑 ]
回复 支持 反对

使用道具 举报

ruanyongjie

该用户从未签到
6#
发表于 2008-3-15 19:27:47 | 只看该作者
1、跨网站脚本攻击
2、注入攻击
3、恶意文件执行
4、不安全对象引用  
5、伪造跨站点请求  
6、信息泻露和不正确的错误处理  
7、被破坏的认证和 Session 管理 。
8、不安全的木马存储  
9、不安全的通讯  
10、URL访问限制失效
【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
回复 支持 反对

使用道具 举报

唐恭明

该用户从未签到
7#
发表于 2008-3-17 00:30:27 | 只看该作者
跨站点脚本攻击(Cross Site Scripting Flaws)、
注入式攻击(Injection Flaws)、
失效的访问控制(Broken Access Control)、
缓存溢出问题(Buffer Overflows)等
Authentication(验证)
用来确认某用户、服务或是应用身份的攻击手段。
Authorization(授权)
用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
Client-Side Attacks(客户侧攻击)
用来扰乱或是探测 Web 站点用户的攻击手段。
Command Execution(命令执行)
在 Web 站点上执行远程命令的攻击手段。
Information Disclosure(信息暴露)
用来获取 Web 站点具体系统信息的攻击手段。
Logical Attacks(逻辑性攻击)
用来扰乱或是探测 Web 应用逻辑流程的攻击手段
回复 支持 反对

使用道具 举报

happygod

该用户从未签到
8#
发表于 2008-3-17 19:24:20 | 只看该作者
Open Web Application Security Project(OWASP)组织总结了目前 Web 应用最常受到的十种攻击手段:
Cross Site Scripting (XSS) Flaws 跨网站脚本攻击
Injection Flaws 注入攻击
Malicious File Execution恶意文件执行
Insecure Direct Object Reference不安全对象引用
Cross-Site Request Forgery伪造跨站点请求
Information Leakage and Improper Error Handling信息泄漏和不正确的错误处理
Broken Authentication & Session Management被破坏的认证和 Session 管理
Insecure Cryptographic Storage不安全的密码存储
Insecure Communications不安全的通讯
Failure to Restrict URL Access URL 访问限制失效
回复 支持 反对

使用道具 举报

liangjz

该用户从未签到
9#
发表于 2008-4-2 10:33:55 | 只看该作者
楼上的同学都已经回答完毕了:)

我们碰到最多的是

XSS
CSRF
SQL Inject
【你来问我来答第140期】:敏捷测试的奥秘与挑战:问答专场!
回复 支持 反对

使用道具 举报

wang006

该用户从未签到
10#
发表于 2008-7-11 16:09:12 | 只看该作者
多谢分享,先下来看看!!
回复 支持 反对

使用道具 举报

返回列表 发新帖

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-19 08:53 , Processed in 0.073391 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表