返回
web安全测试分类及防范测试方法

web安全测试分类及防范测试方法

ID:35643807

大小:249.20 KB

页数:17页

时间:2019-04-05

web安全测试分类及防范测试方法_第1页
web安全测试分类及防范测试方法_第2页
web安全测试分类及防范测试方法_第3页
web安全测试分类及防范测试方法_第4页
web安全测试分类及防范测试方法_第5页
资源描述:

《web安全测试分类及防范测试方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WEB安全测试分类及防范测试方法1Web应用程序布署环境测试21.1HTTP请求引发漏洞的测试21.2操作系统目录安全性及Web应用程序布署环境目录遍历问题测试22应用程序测试32.1SQL注入漏洞测试32.1.1SQL注入漏洞攻击实现原理32.1.2SQL注入漏洞防范措施42.1.3SQL注入漏洞检测方法52.2表单漏洞测试62.2.1表单漏洞实现原理62.2.2表单漏洞防范措施62.2.3表单漏洞检测方法62.3Cookie欺骗漏洞测试82.3.1Cookie欺骗实现原理82.3.2Cookie欺骗防范措施82.3.

2、3Cookie欺骗监测方法92.4用户身份验证测试92.4.1用户身份验证漏洞防范措施92.4.2用户身份验证检测方法92.5文件操作漏洞测试92.5.1文件操作漏洞实现原理92.5.2文件操作漏洞防范措施102.5.3文件操作漏洞检测方法102.6Session测试112.6.1客户端对服务器端的欺骗攻击112.6.2直接对服务器端的欺骗攻击112.6.3Session漏洞检测方法122.7跨网站脚本(XSS)漏洞测试132.7.1跨网站脚本(XSS)漏洞实现原理132.7.2跨网站脚本(XSS)漏洞防范措施132.7

3、.3跨网站脚本(XSS)漏洞测试方法142.8命令注射漏洞测试142.9日志文件测试142.10访问控制策略测试142.10.1访问控制策略测试方法143数据库问题测试153.1数据库名称和存放位置安全检测153.2数据库本身的安全检测153.3数据使用时的一致性和完整性测试154容错测试154.1容错方案及方案一致性测试164.2接口容错测试164.3压力测试161Web应用程序布署环境测试用来架构Web网站的UNIX、LINUX、WINDOWS等服务器端操作系统和服务器软件都可能存在漏洞(如前不久被发现的LINUX系

4、统内核漏洞),这些漏洞都会对Web应用程序造成安全威胁。因此,在布署Web应用程序前,应对Web应用程序的布署环境进行严格的测试,检查一切已知的漏洞,发现新的漏洞,将应用程序环境带来的安全威胁降底到最低程度。1.1HTTP请求引发漏洞的测试超长URL的HTTP请求,特殊格式字符的HTTP请求,某些不存在文件的HTTP请求,COMInternetServices(CIS)–RPCoverHTTP漏洞,从而引发拒绝服务,源代码显示,站点物理路径泄露,执行任意命令及命令注入等安全问题。因此,对非常规URL的HTTP请求要做全面

5、的测试,以发现这方面的漏洞。测试工作以人工方式为主,并配以Tripwire和AIDE的完整性检查工具检查系统文件,对于发现的漏洞,可采取关闭所有不必要的服务和安装系统补丁加固系统。另外要保持对最新补丁和安全公告的追踪,在实验环境进行测试后正式安装在布署Web应用程序的主机上。1.2操作系统目录安全性及Web应用程序布署环境目录遍历问题测试目录权限和目录安全性直接影响着Web的安全性。测试中要检查Web应用程序布署环境的目录权限和安全性,不给恶意用户任何可用的权限。目录遍历可能导致用户从客户端看到或下载、删除Web服务器文

6、件。因此,要测试Web应用程序及布署环境是否存在目录遍历问题;若存在该漏洞,可通过在各级目录中存放默认文档或及时升级系统来避免。1.3系统中危险组件的测试系统中危险组件的存在,会给恶意用户留下非常危险的“后门”。如恶意用户可利用Windows系统中存在的FileSystemObject组件篡改、下载或删除服务器中的任何文件。因此,若系统中需要使用这些组件,可将这些组件更名;否则将其删除。1.4TCP端口测试开放非必要的端口,会给Web应用程序带来安全威胁。因此,在布署Web应用程序前,要用端口扫描软件对布署环境进行TCP

7、端口测试,禁止UDP,只开启必要的TCP端口。另外,在系统运行过程中要不断测试,在服务器端使用lsof工具(ForUnix)或者Inzider工具(Forwindows)扫描端口使用情况,必要时从远程使用Nmap工具进行异常端口占用检测。如果发现有未知的进程占用端口,要关闭端口或杀掉进程。2应用程序测试应用程序中存在的漏洞是影响Web安全的主要方面,程序员编写的软件都可能有漏洞,有些漏洞可能要经过许多年后才会被发现。特别是不断新加的功能,这些改动,都会带来安全方面的问题。因此,应用程序测试要伴随着系统开发、布署和运行的全

8、过程。2.1SQL注入漏洞测试2.1.1SQL注入漏洞攻击实现原理SQL(StructuredQueryLanguage)是一种用来和数据库交互的语言文本。SQL注入的攻击原理就是攻击者通过Web应用程序利用SQL语句或字符串将非法的数据插入到服务器端数据库中,获取数据库的管理用户权限,然后将数据库管理用户权限提升至

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。