51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1443|回复: 0
打印 上一主题 下一主题

安全测试需要注意的十大方向

[复制链接]
  • TA的每日心情
    无聊
    2022-8-5 09:01
  • 签到天数: 2 天

    连续签到: 2 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2018-3-26 14:57:21 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    1.sql注入

            在通常参数的后面附带一个sql查询语句

    2.失效的身份认证和会话管理

    比如用户身份认证退出、密码管理、超时、记住我、秘密问题、帐户更新,登录等等。因为每一个实现都不同,要找
    出这些漏洞有时会很困难。

    3.跨站脚本 (XSS,其中XSS有反射式和保存式(存储式),基于DOM的XSS漏洞)

             其中跨站脚本最常用的是程序员编写代码时不正确的拼接javascript或者是json字符串所造成的.

    4.服务器的暴露

    网站服务器的真实IP也就是通常所说的服务器IP直接暴露

    5.直接显示网站目录或者是安全配置错误

    服务器的配置信息和部署信息等有问题或者漏洞

    6.敏感信息泄露

    很多情况下登录情况下最容易泄露敏感信息,敏感信息大多数情况下建议加密.

    7.功能级访问控制缺失

    功能访问时未在服务器端执行相同的访问控制检查.

    8.网站请求伪造 CSRF

    其实就是依赖web浏览器的,被混淆过的代理人攻击,比如发送一个链接,受害者点击链接后,并在其不知情的情况下进行
    授权,导致程序认为是受害者的合法请求

    9.使用已知漏洞组件

    建议立即升级系统,软件或者已有的组件漏洞,

    10.未验证的重定向和转发

    利用转发和重定向到其他网页的web应用程序和网站,用来获得用户的身份等敏感信息.

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 20:01 , Processed in 0.058874 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表