常见网页安全测试tips

最新推荐文章于 2024-08-14 20:47:26 发布
原创 最新推荐文章于 2024-08-14 20:47:26 发布 · 476 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#测试 #数据库服务器 #脚本 #工具 #sql #security

本文列举了11种常见的Web应用安全测试方法,包括登录测试、数据加密、身份验证等,并详细介绍了如何防止SQL注入、缓冲区溢出等问题。同时,文章还提供了cookie安全性的测试方法及拒绝服务威胁的防范措施。

1)登陆测试

2)数据加密

3)url和api身份验证(直接将一些地址输入到新开的浏览器,可以绕过登陆页面)

4)跨站脚本:web应用程序从用户处获取的输入(字符串,包含脚本的字符串)没有进行验证就在web页面上显示。不仅要在客户端进行用户输入的检查,还需要在服务器端,因为利用一些工具可以修改提交到服务器的字符串

5)sql注入:代码审查,查看所有涉及SQL语句提交的地方,是否正确处理了用户输入的字符串

输入单引号,检查是否转义

输入],检查是否对括号进行处理

';drop tablename;

*' or '1' ='1

6)缓冲区溢出:对每一个用户可能输入的地方尝试不同长度的数据输入,以验证程序在各种情况下正确处理了用户的输入数据,而不会导致异常或溢出问题

7)网页漏洞

8)程序抛出异常给出了比较详细的内部错误信息

9)认证和会话数据不应该作为GET的一部分来发送

10)cookie安全性(工具:cookie editor)

①  屏蔽cookie

② 有选择性地拒绝cookie,检查web系统的工作情况

③ 篡改cookie,看是否导致功能不正确或者业务逻辑混乱

④ cookie加密测试

⑤ cookie安全内容检查(cookie过期时间是否合理,secure属性设置)

11)拒绝服务威胁

错误处理模块是否包含finally块,以便在出错时释放资源

对用户输入,检查输入数据大小,类型和返回数据量的合理性

检查文件上传是否对大小进行限制

输入安全类控制:

1. 安全输入类:SQL注入字符串、跨站脚本字符串(用Base-64或URL方式将某些攻击字符串编码)

2. SQL注入字符串

原因:没有正确过滤转义字符;数据库服务器中的漏洞

预防:使用参数化的过滤性语句;使用专业的漏洞扫描工具

3. 网页攻击手法(见web security安全分类blog)

4. 跨站式脚本资源:http://ha.ckers.org/xss.html

Hacking Exposed:Web Applications》

《How to Break Web Security》

碳基体
关注
如何保证Redis性能与安全?看这篇Redis数据库性能测试及安全优化配置指南就够了
WeiyiGeek 唯一极客IT知识分享
04-14 1634
本章目录 0x00 Redis 性能指标监控 (1) 性能指标 1.基本活动指标:Basic activity 2.性能指标:Performance 3.内存指标: Memory 4.持久性指标: Persistence 5.错误指标:Error 6.其他指标说明 (2) 性能测试工具 1.redis-benchmark 命令 2.redisbench 工具 3.rdb 内存分析工具 (3) 基准测试实践 3.1 K8s中单实例redis测试 0x01 Redis 安全优化 1.Security 非特权运行
安全测试之浏览器入门
weixin_45798017的博客
03-27 450
安全测试介绍 不同浏览器安全特性存在差异,可导致一个漏洞在不同浏览器上触发不同效果,这是不同浏览器中存在的兼容问题。 Chrome+Firefox+IE组合 根据测试需要改变浏览器的默认安全测试 如何修改安全设置,常规操作 这里主要是允许JavaScript的操作和允许弹出式窗口,在xss测试的时候,如果弹出式窗口没有打开,xss脚本就可能被拦截 安全测试常用功能 清除缓存: 有很多web浏览器...
web安全测试
m0_67880724的博客
04-08 4197
在进行目标渗透测试之前,最重要的一步就是收集信息,在这阶段要尽可能的收集目标的信息对目标了解的越多,之后进行的测试就越容易。 信息收集的一般方法 一. Whois查询 1.1whois是一个标准的互联网协议,在3whois查询中,能找到很多跟域名有关的信息,例如域名注册时间,域名所有人,一般的小型网站域名所有人是网站管理员。 常用的查询网址有爱站(https://whois.aizhan.com)站长之家(http://whois.chinaz.com)和Virus Total(...
网页安全测试
xiaoxiaoyu85的专栏
02-19 651
1. 网页安全测试 http://www.cnblogs.com/qmfsun/p/3724406.html
Web中定制页面提示信息(tooltips
04-22
纯js提示框tooltip效果代码,本代码使用了jquery,效果非常不错!
网站的安全性测试
weixin_30873847的博客
06-14 1078
安全性保护数据以防止不合法用户故意造成的破坏; 完整性保护数据以防止合法用户无意中造成的破坏; 安全性测试security testing)是有关验证应用程序的安全服务和识别潜在注意: 安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、...
安全性测试(一)--网页安全检查
KerryRuan的专栏
04-06 4284
本文摘抄自一个做过网站系统安全性测试人写的文章! 感觉写的不错,记录下来: 网站安全性测试 一.  测试范围概述   网站的安全性检查一般包括:        网页安全检查   数据库安全检查   系统安全检查   接口安全检查 二.  检查范围详解  (一) 网页安全检查   1. 输入的数据没有进行有效的控制和验证 数据类型允许的字符集最大和最小
快速自建Web安全测试环境
weixin_53026460的博客
04-17 3103
1.动态语言:(后端语言)动态语言是对服务器行为的编程。这被称为服务器端脚本或服务器脚本。意思就是动态语言可以控制服务器去做某事。 2.前端语言主要是针对浏览器行为的一个编程。 3. 常见服务器脚本 Asp,Aspx Windows PHP 全平台 JSP 全平台,Java的子分类 Python 全平台 4.动态语言能做什么呢? (一)动态地向Web页面编辑、改变或添加任何内容; (二)对由HTML表单提交的用户请求或数据
H5测试
qq_32335663的博客
05-31 899
并对中低端机只取原图,不取高清图。H5涉及到的各种资源文件,在测试环境(包括预发环境),一般都是内域,正式上线,RD童鞋有把资源文件(或者说url中的链接忘了修改)漏发的风险,所以上线后一定要用外网环境再快速回归下。7、H5的页面在PC端也是能访问的,chrome对H5支持最好,功能的测试可以在PC端chrome下先测试,也可以在手机上直接测试,这个看个人习惯。10、手机测试要特别关注交互是否友好,与PC机的事件模型不一样,可能会导致一些体验的问题,比如:弹出层的点击,是否会穿透,影响到弹出层下面的页面。
【记事本软件安全测试深度分析】:保障数据安全与隐私的秘诀
[【记事本软件安全测试深度分析】:保障数据安全与隐私的秘诀](https://tipsmake.com/data3/images/tips-to-set-an-encryption-password-for-notepad-files-picture-6-GXYQArk6j.png) # 摘要 随着软件安全威胁的日...
WEB安全性测试
闪亮伞的博客
05-23 1279
WEB的安全性测试主要从以下方面考虑 1.SQL Injection(SQL注入) (1)如何进行SQL注入测试? 首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等. 注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递.在 和的标签中间的每一个参数传递都有可能被利用. <form id="form_search" action="/search/" method="get"> <div> <
软件页面安全性测试,软件Web安全性测试SQL注入
weixin_35410099的博客
07-23 380
一、概括介绍要对网站安全性进行测试,就必须学习了一些sql注入的知识。网上有许多关于网站安全性测试的文档,有一些是关于sql注入的,比如对网站的输入框进行一些测试,在输入框中输入alter("abc"),但是输入框有字符限制,只输入,结果网站出现了问题。另一个就是在URL最后随意输入一些字符或数字,结果,某个模块出现了问题,暴露了网站的一些信息。  所以,SQL注入对于网站安全性有很重要的影响,...
如何进行网站的安全测试
weixin_30900589的博客
01-18 1985
(一)、安全测试是什么? 所谓安全性测试security testing)是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。 注意:安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 (二)、WEB安全性测试 一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加...
安全测试_登录页面考察点
qq_42708367的博客
04-04 1274
登录页面 一、弱密码 弱密码,指的是容易破译/获取的密码。对于密码强度未做校验的系统,会导致用户在设置密码时可以设置最容易猜测的密码,比如“123456”等。如果有弱密码漏洞,会导致访问权限限制失效,攻击者可以直接暴力破解获得口令登录系统,从而引发不可估量的损失. 二、登录失败信息明确 当用户登录系统失败时,系统会提示用户登录的失败信息,假如提交账号在系统中不存在,系统提示“用户名不存在”、“账号...
登录页面安全测试点整理
伤心的辣条
10-11 1283
1、检查密码数据中是否加密存贮 2、检查密码在传输过程中是否加密,接口或日志中 3、检查密码是否设置强度校验 4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录
网站安全检测:推荐 8 款免费的 Web 安全测试工具
2201_75735270的博客
12-09 4515
随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐 8 款非常有用的免费安全测试工具
web安全测试测试方法有哪些?
OKCRoss的博客
04-30 1718
Web安全测试是确保Web应用程序安全的重要环节,通过采用合适的测试方法,可以有效地发现和修复潜在的安全风险和漏洞。在实施Web安全测试时,建议根据实际情况选择合适的测试方法,并根据结果采取相应的措施来提高应用程序的安全性。2.存储型XSS测试:将恶意的HTML或JavaScript代码存储在应用程序的数据库中,检查其他用户是否可以看到和执行该代码。1.反射型XSS测试:向应用程序输入恶意的HTML或JavaScript代码,验证该代码是否被输出到页面上并执行。
一文掌握 Web 测试:功能、界面、兼容与安全的综合测试指南!
最新发布
朱雀随云记的博客
08-14 3290
随着Web技术的不断演进,测试除了对应用的功能性、界面美观性、跨平台兼容性的基本要求外、安全性和性能的要求也逐步增高。因此,全面、系统的测试思维和策略成为了保证Web应用高质量的关键因素。本篇文章将从功能测试、界面测试、兼容性测试安全测试四个方面,深入梳理测试要点,确保Web应用在各个层面上都能满足用户和业务的需求。通过这篇文章,希望对于构建全面测试思维,提供一些帮助。
【分享】原创网页TIPS无图片插件!3K完美搞定!
weixin_30544657的博客
09-17 118
本文原创地址:http://www.cnblogs.com/idche/archive/2010/09/17/ljtips.html 转载请注明。 请划过或点击下面带框的文本 看我这里一个DIV 提示在我的下面出现 提示在左边出现 提示出现2秒后会自动消失 提示可以有关闭按钮 不同担心页面放大缩小会位置会偏移哦 优点 1:兼容 各种浏览器 2:自...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值