常见地web安全系统性测试点

《常见地web安全系统性测试点》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、实用文档常见的web安全性测试重点1.XSS(CrossSiteScript)跨站脚本攻击　　XSS(CrossSiteScript)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达　　到恶意用户的特殊目的。　　测试方法： 　　在数据输入界面，添加记录输入：，添加成功如果弹出对话框，表明此处存在一个XSS 漏洞。　　或把url请求中参数改为

7、alert

8、and

9、exec

10、execute

11、insert

12、se

13、lect

14、delete

15、update

16、count

17、drop

18、chr

19、mid

20、master

21、truncate

22、declare

23、sitename

24、netuser

25、xp_cmdshell

26、or

27、+

28、,

29、like'

30、and

31、exec

32、execute

33、insert

34、create

35、drop

36、table

37、from

38、grant

39、group_concat

40、column_name

41、information_schema.columns

42、table_schema

43、union

44、where

45、select

46、delete

47、update

48、order

49、by

50、count

51、

52、chr

53、mid

54、master

55、truncate

56、declare

57、or

58、--

59、+

60、,

61、like

62、//　　不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取;　不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接;　　应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。4.登录认证测试　　4.1暴力破解　　暴力破解是目前最直接有效的攻击方式，特别对于金融业务来说，很多情况下口令都为6位纯数字，很容易被攻击。本测试项在于检查认证系统对暴力破解的防护性。

63、　　测试方法：　　启动抓包工具，同时打开浏览器输入用户登录页面，输入用户名、密码以及验证码，进行登录，如果在抓包中存在明文的用户名和密码，说明存在弱点。　　修改建议：　　将请求方式从HTTP方式修改为HTTPS方式或者对输入的用户名和密码进行加密，在服务端对密码进行验证　　4.2代码注释　　开发版本的Web程序所带有的注释在发布版本中没有被去掉，而导致一些敏感信息的泄漏。我们要查看客户端能看到的页面源代码并发现此类安全隐患。　　测试方法：文案大全实用文档　　打开登陆页面(或者待测试页面)，点击浏览器邮件，查看源代码，检查源代码注释部

64、分是否有敏感信息泄露，敏感信息包括以下内容：字段文字描述、内网IP地址、SQL语句以及物理路径等等。　　修改建议：　　请勿在HTML 注释中遗留任何重要信息（如文件名或文件路径）。　　从生产站点注释中除去以前（或未来）站点链接的跟踪信