|
本帖最后由 changxiaofang 于 2011-9-26 21:59 编辑
安全性测试
1、认证与授权,用于验证用户的登录和权限是否正常。
2、session与cookie,用于验证Session和Cookie不会导致信息泄露和认证错误。
3、文件上传漏洞,避免非法上传文件使服务器安全受到攻击。
4、SQL注入,用于验证系统不会因为非法输入而将SQL语句的运行顺序进行修改,导致信息泄露甚至导致数据库内容被篡改。
5、XSS跨站攻击,用于验证系统不会因为非法输入脚本而执行导致其他客户端受到威胁。
6、DOS(分布式拒绝服务攻击),是指利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的请求,甚至直接导致服务器崩溃。
7、敏感信息由于错误消息而泄露,如果由于用户的输入不合法而抛出错误信息,这类错误信息必须是处理过的,而不能将原始异常信息抛出,这样容易暴露很多服务器端关键信息。
8、使用日志系统将各种操作进行记录,便于跟踪各种可能的安全攻击形式。
9、使用javascript对客户端的输入进行验证的同时,我们在服务器端脚本中也需要同步进行验证,避免因为使用代码或工具向服务器直接发送数据包而绕开javascript验证这一层时的安全风险。
我就尝试一下,也算是对51的论坛做一个小小的测试,(*^__^*) 嘻嘻……
<form >
<input type="text" />
<input type="submit" value="提交" />
</form>
51的论坛肯定不会出现那种比较低级的安全性问题的,做测试的,嘿嘿
我也试了一下通过SQL注入能不能登录成功,事实证明,不能
SQL注入?这个挺好的,跟我一组做项目的组长用ajax技术对存入数据库之前的密码进行了加密。
使用同样的web服务器,同样的数据库,同样的数据,输入相同的用户名和密码,结果他可以成功进入主界面,而我不则会一直提示用户名或者密码不正确。结果我问他他也说不出是为什么,不知道能不能通过SQL注入成功登录?有没有高手遇见过类似的情况啊?我也学习过开发,但是ajax技术我没有的学习过,还请高手指点,谢谢! |
|