安全性测试

王晓梅 · 发表于 2010-8-16 15:09:11

安全性测试是一项迫切需要进行的测试，测试人员需要像黑客一样攻击软件系统，找到软件系统包含的安全漏洞。
网页安全漏洞检测
一些设计不当的网站系统可能包含很多可以被利用的安全漏洞，这些安全漏洞如同给远程攻击者开了一个后门，让攻击者可以方便地进行某些恶意的攻击。例如：公共漏洞和披露网站CVE公布了Element InstantShop中的web网页add_2_basket.asp的一个漏洞项，充许远程攻击者通过隐藏的表单变量“price”来修改价格信息。这个表单的形式如下所示：
<input type=hidden name="id" value="aut00034">
<input type=hidden name="product" value="BMW545">
<input type=hidden name="name" value="Expensive Car">
<input type=hidden name="price" value="100">
利用这个漏洞，不怀好意者可以任意设定price字段的值，然后提交给InstantShop网站的后台服务器，从而可能100美元就可以获得一部BMW545.