【转】web常见安全问题以及测试方法

web安全是我们测试组一直以来作为和性能测试并驾齐驱的两个重点。开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。年底又到了,势必又有大批的发号抽奖之类的活动开发、上线,在这个过程中,安全问题是我们每个人应该紧绷的神经,对于我们测试人员来说,每个活动需要做到手动安全测试加自动化安全测试相结合。

 

  常见的web安全问题有:

  SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。

 

  对于手动安全测试来说,一般常用的有三点:

  1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;

 

  2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;

 

  3、在注重SQL注入的同时,一般在有输入框的地方输入

 

  对于自动化安全测试来说:

  测试组目前使用的安全测试工具IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)

 

  1、在使用之前务必确认自己绑定的Host;

 

  2、配置URL、开发环境、错误显示类型;

 

  3、结果保存后可根据提示的问题类型和解决建议进行分析。

 

  Web安全测试通常要考虑的测试点:

 

  1、输入的数据没有进行有效的控制和验证

 

  2、用户名和密码

 

  3、直接输入需要权限的网页地址可以访问

 

  4、认证和会话数据作为GET的一部分来发送

 

  5、隐藏域与CGI参数

 

  6、上传文件没有限制

 

  7、把数据验证寄希望于客户端的验证

 

  8、跨站脚本(XSS)

 

  9、注入式漏洞(SQL注入)

 

  10、不恰当的异常处理

 

  11、不安全的存储

 

  12、不安全的配置管理

 

  13、传输中的密码没有加密

 

  14、弱密码,默认密码

 

  15、缓冲区溢出

 

  16、拒绝服务

 

posted @ 2015-10-28 11:26  我只吃大碗  阅读(466)  评论(0编辑  收藏  举报