安全测试需要注意的十大方向

本文列举了包括SQL注入、身份认证缺陷、跨站脚本在内的十种常见的网络安全风险,并提供了简单的说明。

1.sql注入

        在通常参数的后面附带一个sql查询语句

2.失效的身份认证和会话管理

比如用户身份认证退出、密码管理、超时、记住我、秘密问题、帐户更新,登录等等。因为每一个实现都不同,要找出这些漏洞有时会很困难。

3.跨站脚本 (XSS,其中XSS有反射式和保存式(存储式),基于DOM的XSS漏洞)

         其中跨站脚本最常用的是程序员编写代码时不正确的拼接javascript或者是json字符串所造成的.

4.服务器的暴露

网站服务器的真实IP也就是通常所说的服务器IP直接暴露

5.直接显示网站目录或者是安全配置错误

服务器的配置信息和部署信息等有问题或者漏洞

6.敏感信息泄露

很多情况下登录情况下最容易泄露敏感信息,敏感信息大多数情况下建议加密.

7.功能级访问控制缺失

功能访问时未在服务器端执行相同的访问控制检查.

8.网站请求伪造 CSRF

其实就是依赖web浏览器的,被混淆过的代理人攻击,比如发送一个链接,受害者点击链接后,并在其不知情的情况下进行授权,导致程序认为是受害者的合法请求

9.使用已知漏洞组件

建议立即升级系统,软件或者已有的组件漏洞,

10.未验证的重定向和转发

利用转发和重定向到其他网页的web应用程序和网站,用来获得用户的身份等敏感信息.



评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值