web常見安全問題以及測試方法
web安全是我們測試組一直以來作為和效能測試並駕齊驅的兩個重點。開發的過程中還需要著重注意,該轉義的地方轉義;該遮蔽的地方遮蔽,該過濾的地方過濾等等。年底又到了,勢必又有大批的發號抽獎之類的活動開發、上線,在這個過程中,安全問題是我們每個人應該緊繃的神經,對於我們測試人員來說,每個活動需要做到手動安全測試加自動化安全測試相結合。
常見的web安全問題有:
SQL注入、跨站點指令碼攻擊、跨站點偽造請求、目錄遍歷、郵件表頭注入、頁面錯誤資訊等。
對於手動安全測試來說,一般常用的有三點:
1、URL有引數的,手動修改引數,看是否得到其他使用者的資訊和相關頁面;
2、在登入輸入框的地方輸入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;
3、在注重SQL注入的同時,一般在有輸入框的地方輸入
對於自動化安全測試來說:
測試組目前使用的安全測試工具為IBM的AppScan(當然,是破解版,34上已經放過該工具的安裝包)
1、在使用之前務必確認自己繫結的Host;
2、配置URL、開發環境、錯誤顯示型別;
3、結果儲存後可根據提示的問題型別和解決建議進行分析。
Web安全測試通常要考慮的測試點:
1、輸入的資料沒有進行有效的控制和驗證
2、使用者名稱和密碼
3、直接輸入需要許可權的網頁地址可以訪問
4、認證和會話資料作為GET的一部分來發送
5、隱藏域與CGI引數
6、上傳檔案沒有限制
7、把資料驗證寄希望於客戶端的驗證
8、跨站指令碼(XSS)
9、注入式漏洞(SQL注入)
10、不恰當的異常處理
11、不安全的儲存
12、不安全的配置管理
13、傳輸中的密碼沒有加密
14、弱密碼,預設密碼
15、緩衝區溢位
16、拒絕服務