实训报告2:软件安全缺陷查找实训报告

最新推荐文章于 2025-07-18 10:25:12 发布
原创 最新推荐文章于 2025-07-18 10:25:12 发布 · 1.6k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试

软件安全缺陷查找实训报告

  • 基本信息

名称:

软件安全缺陷查找

时间:

4月17日

测试人:

学号:

年级专业班级:

22级软件工程专业1班

目标:

了解常见的软件漏洞类型及其危害。

掌握软件漏洞检测、分析和修复的方法

提高测试设计能力和缺陷分析能力和安全意识。

  • 测试内容
    1. 测试思路及测试环境

测试思路 :

通过模拟真实用户操作,结合常见安全漏洞类型(如SQL注入、跨站脚本攻击、未授权访问等),对教务管理系统进行全面测试,发现潜在的安全缺陷,并记录其影响范围、严重程度及修复优先级。

测试环境 :

操作系统:Windows 11

浏览器:Google Chrome 版本 135.0.7049.96

测试工具:Burp Suite、Postman、浏览器开发者工具

目标系统:教务管理系统(http://10.1.1.149)

    1. 缺陷列表

缺陷编号

缺陷标题

所属模块

缺陷描述

严重程度

优先级

DEF-SEC 01

密码SQL注入

用户模块

输入精心构造的密码后可绕过密码检测

严重

DEF-SEC 02

文件上传失败

文件模块

上传文件时显示“Internal Server Error”

DEF-SEC 03

跨站脚本攻击 (XSS)

评论模块

在评论框中输入恶意脚本后,页面被篡改

严重

DEF-SEC 04

未授权访问

权限模块

未登录用户可直接访问受保护的管理页面

DEF-SEC 05

敏感信息泄露

日志模块

系统日志中记录了用户的明文密码

    1. 缺陷详细描述
缺陷编号:DEF-SEC01

缺陷标题:密码SQL注入

测试对象:教务管理系统 http://10.1.1.149

缺陷描述:输入精心构造的密码后可绕过密码检测

操作步骤:访问登录页面(http://10.1.1.149/login)。在用户名输入框中输入任意值(如admin)。在密码输入框中输入以下内容:' OR '1'='1。点击“登录”按钮。

预期结果:系统应验证用户名和密码是否匹配,若不匹配则提示错误。

实际结果 :成功登录系统,未进行密码验证。

严重程度:严重

优先级:高

发现时间:2025-03-10

缺陷编号:DEF-002

缺陷标题:文件上传失败

测试对象:教务管理系统 http://10.1.1.149

缺陷描述:上传文件时显示“Internal Server Error”。

操作步骤:登录系统并进入文件上传功能页面。选择一个合法文件(如PDF或图片格式)并点击“上传”。观察页面响应。

预期结果:文件上传成功,页面显示上传完成的提示。

实际结果 :页面显示“Internal Server Error”,文件上传失败。

严重程度 :中

优先级 :中

发现时间 :2025-03-10

缺陷编号:DEF-SEC 03

缺陷标题 :跨站脚本攻击 (XSS)

测试对象 :教务管理系统 http://10.1.1.149

缺陷描述 :在评论框中输入恶意脚本后,页面被篡改,可能导致用户会话被劫持或恶意代码执行。

操作步骤 :登录系统并进入评论功能页面。在评论框中输入以下代码:<script>alert('XSS Attack');</script>。提交评论并刷新页面。

预期结果 :系统应过滤掉恶意脚本,页面正常显示。

实际结果 :页面弹出警告框,显示“XSS Attack”,恶意脚本被执行。

严重程度 :严重

优先级 :高

发现时间 :2025-03-11

缺陷编号:DEF-SEC 04

缺陷标题 :未授权访问

测试对象 :教务管理系统 http://10.1.1.149

缺陷描述 :未登录用户可通过直接访问URL进入受保护的管理页面,存在严重的权限控制漏洞。

操作步骤 :退出登录状态或不登录系统。在浏览器地址栏中输入管理页面的URL(如:http://10.1.1.149/admin)。按下回车键访问页面。

预期结果 :系统应跳转至登录页面或提示无权限访问。

实际结果 :成功进入管理页面,可查看和操作敏感数据。

严重程度 :高

优先级 :高

发现时间 :2025-03-12

缺陷编号:DEF-SEC 05

缺陷标题 :敏感信息泄露

测试对象 :教务管理系统 http://10.1.1.149

缺陷描述 :系统日志中记录了用户的明文密码,存在敏感信息泄露风险。

操作步骤 :登录系统并进行任意操作。查看服务器端生成的日志文件(路径:/var/log/system.log)。搜索日志内容,发现明文密码记录。

预期结果 :日志中不应记录用户的敏感信息(如密码)。

实际结果 :日志中记录了用户的明文密码,例如:“User login with password: 123456”。

严重程度 :中

优先级 :高

发现时间 :2025-03-13

  • 测试分析

安全缺陷分析

SQL注入漏洞 :

SQL注入是由于系统未对用户输入进行有效校验或参数化查询导致的。该漏洞允许攻击者通过构造恶意SQL语句绕过认证机制,甚至获取数据库中的敏感信息。建议使用预编译语句或ORM框架来避免此类问题。

文件上传失败

文件上传失败可能是由于服务器端处理逻辑存在异常,或者文件大小、格式限制未正确配置。需要检查服务器端代码逻辑,并确保上传接口的健壮性。

跨站脚本攻击 (XSS) :

XSS漏洞是由于未对用户输入进行严格的HTML编码或过滤导致的。攻击者可以利用此漏洞注入恶意脚本,窃取用户会话信息或篡改页面内容。建议对所有用户输入进行严格过滤,并启用CSP(内容安全策略)。

未授权访问 :

未授权访问漏洞表明系统缺乏有效的权限控制机制。建议在每个受保护的页面中加入身份验证和权限校验逻辑,避免直接通过URL访问敏感资源。

敏感信息泄露 :

日志中记录明文密码是严重的安全问题。建议在日志记录中避免存储敏感信息,必要时对敏感数据进行脱敏处理。

q_cxyh
关注
建模实训报告总结_实验报告总结(15篇)
weixin_39946274的博客
12-20 7328
《实验报告总结(15篇)》由会员分享,可在线阅读,更多相关《实验报告总结(15篇)(16页珍藏版)》请在人人文库网上搜索。1、实验报告总结(15篇) 实验报告总结 第1篇:课程学习和实验的操作诚然是一门专业课必须要去做的,能够使很多专业知识以及专业技能上桌面GIS的功能与菜单操作以及对地形分析等等的实验操作的提升,同时又是一门辩思课,给了我很多思,给了我莫大的空间。同时,设计专题地图和数据处理让我...
ssm实训报告心得_启迪实训 | 深圳日记:师傅领进门,修行靠个人
weixin_39832875的博客
12-12 992
点击蓝字关注我们 启迪数字人才实训学校目前联合运营的实训基地有北京大数据实训基地、厦门创客孵化实训基地、深圳鹏城实验室实训基地、武汉网络安全实训基地、宁波机器人实训基地等。 从2019年暑期开始,启迪学子在各实训基地开展专业实践活动,走进职场进行实战演练,根据市场需求进行项目设计与开发。 在实战中,启迪学子体会到了学习社会化的价值,在学习中创造价值的获得感。他...
实训报告2软件安全缺陷查找
记录
05-29 357
应用程序应拒绝上传不安全的文件类型,并提示用户上传失败。: 应用程序应返回通用错误信息,如“用户名或密码错误”。: 应用程序应拒绝弱密码,并提示用户设置更复杂的密码。: 应用程序返回具体错误信息,如“用户名不存在”。: 错误信息应简洁,不泄露服务器或应用的详细信息。: 应用程序接受并成功上传了带有恶意脚本的文件。: 应用程序应拒绝非法输入,并返回错误消息。: 错误页面显示了详细的错误日志和堆栈信息。: 应用程序允许登录,并显示用户数据。: 应用程序允许使用弱密码注册。
实训报告1:软件界面缺陷及功能缺陷查找
记录
05-29 629
页面加载时间过长,用户需要等待超过 10 秒才能看到完整的商品信息。:Windows10,Microsoft Edge 浏览器。:Windows10,Microsoft Edge 浏览器。:账户余额的字体大小明显小于页面上的其他文本。:“保存”按钮的颜色与其他按钮不一致。:在主页的搜索框中输入关键词进行搜索。:点击“搜索”按钮后,没有任何反应。:打开应用并导航到账户详情页面。:所有文本应具有一致的字体大小。:点击链接后,页面没有任何反应。:点击主页的“更多信息”链接。:所有按钮应具有一致的颜色。
实训报告1:软件界面缺陷及功能缺陷查找实训报告
md444444的博客
06-11 934
这是一个用于Web应用程序测试的示例网站,包含多个测试场景。以下是针对该网站进行界面缺陷和功能缺陷测试报告示例。
python爬虫实训总结报告_python爬虫简单总结(一)
weixin_39940688的博客
11-26 4172
爬虫?什么时爬虫?我个人理解的爬虫就是:爬虫是一个模拟浏览器进行HTTP 请求的过程,快速获取我们想要的数据。HTTPHTTP协议请求本身是非常简单的,主要是,由客户端主动发送请求,服务器接收请求处理后返回响应结果,同时HTTP,是一种无状态,无连接,的超文本传输协议,协议本身不记录客户端的历史请求记录。HTTP 请求由3部分组成,分别是请求行、请求首部、请求体,首部和请求体是可选的,并不是每个请...
软件缺陷缺陷报告
weixin_48858223的博客
04-05 1133
软件缺陷定义 缺陷就是问题,最终表现为所需要的的功能没有完全实现,没有满足用户的需求 具体包含: 未达到需求文档功能 出现需求文档中指明不会出现的错误 功能超出需求规格说明说的范围 未达到需求文档虽然没有指明,但应该达到的目标 测试人员或用户认为软件难以理解,不易使用,运行速度慢或最终用户认为不好 表现形式 ...
计算机安全防范实训,个人计算机安全与防实训实验报告_印刷版0909.doc
weixin_42513944的博客
07-20 328
个人计算机安全与防实训实验报告_印刷版0909实训一、Windows操作系统安全设置一、实验目的:掌握计算机系统进入、退出相关安全设置操作,以及查找系统漏洞、关闭漏洞,对操作系统通过补丁升级的操作方法。要求学生了解Windows xp安全设置基本概念,掌握安全设置的多种方法。二、基本概念:一些计算机用户简单的认为只要经常查杀病毒就可以确保计算机的安全。其实不然,计算机安全不只是查杀病毒,它还包括增...
软件工程实训大作业报告(旅游信息管理系统|小组合作完成)
qq_60906390的博客
07-02 9130
作者声明:本博客仅用来记录我大三下和小组成员用3天时间完成的软件工程导论大作业,仅用来学习交流使用,如需系统源码和报告word可后台私信
C语言实训报告--通讯录管理系统2.doc
05-16
《C语言实训报告--通讯录管理系统》是一份详细介绍如何使用C语言开发通讯录管理系统的实践报告。这份报告涵盖了从问题定义、系统设计、系统实现、测试与调试、系统维护到归纳总结的完整过程,旨在帮助读者理解C语言...
个人计算机安全与防黑实训实验报告-印刷版.doc
06-26
个人计算机安全与防黑实训实验报告详细阐述了计算机安全的基础知识和操作系统Windows的安全设置。报告从基础概念入手,强调计算机安全不局限于病毒查杀,而是包含系统安全、隐私保护和文档安全等多方面内容。计算机...
信息安全性测试:渗透测试、漏洞扫描与代码审计全解析
iotintop2的博客
07-18 404
信息安全性测试是依据国家标准、行业标准、地方标准或相关技术规范,依照规范流程对信息系统的安全保障能力开展科学公正的综合测试评估,旨在分析系统当前安全运行状况、排查潜在安全问题,并提供针对性安全改进建议,从而最大限度降低系统安全风险。
三相感应异步电机参数辨识:大厂成熟C代码与仿真模型指南 · S-Function v2.0
07-26
三相感应异步电机参数辨识的方法及其大厂成熟的C代码实现。首先,通过直流电测量定子电阻,利用PWM输出和ADC模块获取电流样本,确保电流稳定并计算电阻。其次,采用交流注入法辨识转子电阻和漏感,通过PLL(锁相环)实现高精度相位跟踪。最后,通过递归最小二乘法辨识互感并计算空载电流。文中还提供了将C代码封装为S-Function用于Simulink仿真的方法,使仿真更加贴近实际硬件运行情况。 适合人群:从事电机控制领域的工程师和技术人员,尤其是对三相感应异步电机参数辨识感兴趣的读者。 使用场景及目标:适用于需要精确辨识三相感应异步电机参数的实际工程项目,如工业自动化、电力系统等领域。目标是在不同应用场景下提高电机性能和效率。 阅读建议:读者可以结合提供的C代码和仿真模型,在实践中逐步掌握参数辨识的具体实现方法,并根据具体需求调整代码和仿真设置。
Simulink永磁同步电机转矩控制模型复现与优化及其多种控制策略的应用
07-26
基于Simulink平台对永磁同步电机(PMSM)进行转矩控制模型的复现及优化。作者通过采用dq轴磁链模型替代传统的磁链观测方法,有效解决了磁链估算中的积分漂移问题。文中展示了具体的MATLAB函数用于离散时间磁链观测,并提供了PID控制器参数设置,确保系统在负载变化时仍能保持稳定性能。此外,该模型支持多种高级控制策略如卡尔曼滤波、模型预测控制(MPC)、PID模糊控制以及滑模控制等的集成与测试。 适合人群:从事电力电子、自动化控制领域的研究人员和技术人员,特别是对永磁同步电机控制系统感兴趣的读者。 使用场景及目标:适用于需要深入理解和改进永磁同步电机控制系统的研究项目或工业应用。目标是在现有基础上进一步提升系统的响应速度、精度和平顺度。 其他说明:提供的模型不仅限于理论研究,还可以作为实际工程项目的基础,帮助工程师快速搭建并验证不同的控制算法。
langchain4j-open-ai-0.29.1.jar中文-英文对照文档.zip
07-26
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
微信机器人标题 V1 创建时间:21:34
最新发布
07-26
资源下载链接为: https://pan.quark.cn/s/dcc8bce43c34 基于 hanson/vbot 项目开发。 感谢 hanson/vbot 项目、Swoole 以及图灵机器人提供的支持与技术基础。 项目具备完善的稳定性保障机制,通过进程监控与自动恢复功能确保服务持续运行。多用户登录场景下,可灵活调整进程数适配需求。核心功能依赖现有成熟库实现,聚焦于通过 Swoole 优化运行模式,兼顾功能扩展性与稳定性。使用前需完成环境配置与图灵机器人密钥设置,确保交互功能正常启用。
基于MATLAB Simulink的六脉冲高压直流输电系统稳态与瞬态性能研究
07-26
利用MATLAB Simulink构建和分析一个500MW(250kv-2kv)的六脉冲高压直流输电系统。首先,从学生的角度出发,介绍初次接触这种复杂系统的体验;接着,从IT人士的角度,强调模型搭建与参数设定的精确性;然后,由技术专家进行稳态性能测试,确保系统在不同负载条件下的稳定运行;最后,通过场景模拟评估系统的瞬态性能,如负载突变和设备故障等情况。文中还提供了简单的Simulink模型搭建代码示例,帮助读者更好地理解和应用。 适合人群:电力工程专业的学生、从事电力系统研究的技术人员以及对电力电子感兴趣的IT人士。 使用场景及目标:① 学习高压直流输电系统的工作原理及其建模方法;② 掌握稳态和瞬态性能的测试技巧;③ 提升对电力电子技术的理解和应用能力。 其他说明:文章不仅涵盖了理论知识,还包括实际操作步骤和代码示例,有助于读者全面掌握相关技能。
联想新路由Newifi R6830编程器固件更新
07-26
资源下载链接为: https://pan.quark.cn/s/d9ef5828b597 我备份了联想新路由 Newifi R6830 的编程器固件配置。该路由器的硬件配置为:主芯片采用 MT7620A,无线芯片为 MT7612EN,内存容量为 128MB,闪存容量为 16MB。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值