|
安全性测试是一项迫切需要进行的测试,测试人员需要像黑客一样攻击软件系统,找到软件系统包含的安全漏洞。
网页安全漏洞检测
一些设计不当的网站系统可能包含很多可以被利用的安全漏洞,这些安全漏洞如同给远程攻击者开了一个后门,让攻击者可以方便地进行某些恶意的攻击。例如:公共漏洞和披露网站CVE公布了Element InstantShop中的web网页add_2_basket.asp的一个漏洞项,充许远程攻击者通过隐藏的表单变量“price”来修改价格信息。这个表单的形式如下所示:
<input type=hidden name="id" value="aut00034">
<input type=hidden name="product" value="BMW545">
<input type=hidden name="name" value="Expensive Car">
<input type=hidden name="price" value="100">
利用这个漏洞,不怀好意者可以任意设定price字段的值,然后提交给InstantShop网站的后台服务器,从而可能100美元就可以获得一部BMW545. |
|