qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

web常见安全问题以及测试方法

  Web安全是我们测试组一直以来作为和性能测试并驾齐驱的两个重点。开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。年底又到了,势必又有大批的发号抽奖之类的活动开发、上线,在这个过程中,安全问题是我们每个人应该紧绷的神经,对于我们测试人员来说,每个活动需要做到手动安全测试加自动化安全测试相结合。
  常见的web安全问题有:
  SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。
  对于手动安全测试来说,一般常用的有三点:
  1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;
  2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;
  3、在注重SQL注入的同时,一般在有输入框的地方输入
  对于自动化安全测试来说:
  测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)
  1、在使用之前务必确认自己绑定的Host;
  2、配置URL、开发环境、错误显示类型;
  3、结果保存后可根据提示的问题类型和解决建议进行分析。
  Web安全测试通常要考虑的测试点:
  1、输入的数据没有进行有效的控制和验证
  2、用户名和密码
  3、直接输入需要权限的网页地址可以访问
  4、认证和会话数据作为GET的一部分来发送
  5、隐藏域与CGI参数
  6、上传文件没有限制
  7、把数据验证寄希望于客户端的验证
  8、跨站脚本(XSS)
  9、注入式漏洞(SQL注入)
  10、不恰当的异常处理
  11、不安全的存储
  12、不安全的配置管理
  13、传输中的密码没有加密
  14、弱密码,默认密码
  15、缓冲区溢出
  16、拒绝服务

posted on 2014-02-13 16:01 顺其自然EVO 阅读(694) 评论(0)  编辑  收藏 所属分类: 安全性测试


只有注册用户登录后才能发表评论。


网站导航:
 
<2014年2月>
2627282930311
2345678
9101112131415
16171819202122
2324252627281
2345678

导航

统计

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

阅读排行榜

评论排行榜