返回
《安全性测试之续》ppt课件

《安全性测试之续》ppt课件

ID:40110344

大小:5.64 MB

页数:46页

时间:2019-07-21

《安全性测试之续》ppt课件_第1页
《安全性测试之续》ppt课件_第2页
《安全性测试之续》ppt课件_第3页
《安全性测试之续》ppt课件_第4页
《安全性测试之续》ppt课件_第5页
资源描述:

《《安全性测试之续》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全性测试之续By-jacob小胖胖_要减肥(新浪围脖)网站安全性问题一直是一个大家所需要重视,但有时候缺总是感觉缺乏这种资源或是这个范围太广而无法全部覆盖到把,但一旦被人利用就会造成很多不利影响。所以这个问题最好从源头开始杜绝,而不是靠后期测试人员或者使用者发现再去修复,想到这个周末便对都是开发童鞋的oschina进行了一次友情测试,并得到了不错的效果。首先认证钓鱼这个问题是由于一个引用网络图片问题而导致的,这个实在影响太大,包括qq,百度,人人,163邮箱,qq邮箱等著名网站。那么为什么一个引用网络图片会导致这个认证钓鱼呢,因为http认证的关

2、系,好了,下面具体看图把。测试淘宝论坛,欺骗窗口弹出测试支付宝论坛,欺骗窗口弹出测试网易邮箱,欺骗窗口弹出测试新浪邮箱,欺骗窗口弹出前面一段时间作为wooyun的一员,一直致力于网络安全,发现各类网站及邮箱都会有一个高危漏洞,即认证钓鱼,包括淘宝论坛,支付宝论坛,百度贴吧,qq空间,163邮箱,qq邮箱等网站,当用户打开页面的时候会引发了一个http认证,如果用户不注意就会输入用户名密码进去,因为基于对网站的信任,这个时候黑客就会受到用户输入的用户名和密码,即可登录该网站,危害很大,特别是邮箱那么我就以163邮箱为例演示下这个过程吧首先我先写一封邮

3、件以qq邮箱为例子,发送到163邮箱,引用网络图片,地址为http://*******/authtest.php?id=*****&info=http%3A%2F%2Ftwebmail.mail.163.com#.jpg点击发送,然后到163邮箱查看收到内容,并打开邮件看到这个时候不注意的用户就会看到提示登录的弹框,很可能输入用户名密码,那么我输入下看看,结果输入的用户名密码发到了我所对应的地址首先,我先找个能够引用网络图片的地方,其实不引用也可以,只要插如imgsrc=“即可之后刷新看效果吧,因为指定的图片地址引用了一个http认证这个时候重新打

4、开页面就会触发一个钓鱼认证,没有警惕性的用户发现是要连接关于访问网站www.oschina.net的,就输入了该网站的用户名和密码,点击确定以后其实这个密码就发给我了,因为这个钓鱼认证是我搞的,好了看看效果把。看来我已经收到有人输如的oschina的用户名和密码了看了真的有人中招了,好了那么登陆发发消息看看这个就是我使用刚才收到的用户名密码所发的一条信息,因为之前没有测试就联系红薯了,只是他找周公去了,所以发一条消息再@下。至此测试成功,之后就有程序猿发现了这个情况并发帖,看来程序猿的警惕性还是很高的,不过也说明他们也对安全性的知识比较缺乏,并不知

5、道这是一个认证钓鱼。就此测试结束,第二天联系红薯把事情讲清楚后,红薯特地在首页搞了一个置顶贴,看来他也认识到了问题的严重性,毕竟他的网站至少还是可以的帖子内容这样基本就在oschina普及了这个安全性方面的知识,我的目的也达到了,个人认为从程序猿抓起才是最好的方式把。之后也在qq空间和百度贴吧做相应测试也收到了用户名密码至此,大家应该对认证钓鱼这个有所认识,网站安全性问题一直层出不穷,这个不但给黑客有了图利的机会,更给用户很多不安定因素,造成对网站的不信任。很多东西涉及范围太广我们也无法全部覆盖到,只能一点点积累。比如xss这个问题,最简单的当然使

6、用白名单,但很多时候是无法避免一些比如onload的标签的,那么就只能过滤,这个时候问题就会层出不穷,大家有兴趣可以看一下腾讯围脖10+的xsshttp://www.wooyun.org/corps/腾讯/page/1所以开发童鞋很多时候自己也要把问题考虑全面啊,测试童鞋很多时候也无法全部覆盖,只有大家通力协作才能把网站做的更好。下面就是一个新蛋的弹窗,只是在这个地方利用方式比较复杂,最简单的就是你登陆我输个代码cookies就发到我指定地方了,不过这个还是开发童鞋过滤不严导致的,千里之堤,溃于蚁穴,安全无小事啊。或者这样利用,窗口是模态的输入用户

7、名密码后的效果在讲基础知识之前先看一个漏洞,虽然利用很简单,就是一个参数没有对负数进行控制,但影响很大,之后我就会讲利用手法,就是fiddler工具的使用,上次已经讲解过反向代理工具burp的使用了。好了,测试同学肯定觉得上面的和自己关系不是很大,那么下面的内容我觉得是对于web测试应该掌握的,当然开发同学肯定要很了解其本质。首先我们必须明晰Session的概念,Session是由服务器维持的一个服务器端的存储空间,用户在连接服务器时,会由服务器生成一个唯一的SessionID,用该SessionID为标识符来存取服务器端的Session存储空间。

8、SessionID可以由cookie保存,用户访问网站时,SessionID将会随cookie提交到服务器端。服务器也可以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。