安全测试-- 告诉你什么是XSS、sql注入?POST和GET的区别

最新推荐文章于 2024-03-18 22:30:25 发布
最新推荐文章于 2024-03-18 22:30:25 发布
阅读量1.2w 收藏 15
点赞数 4
分类专栏: Metasploit

1、用户权限测试
  (1) 用户权限控制

  1) 用户权限控制主要是对一些有权限控制的功能进行验证

  2) 用户A才能进行的操作,B是否能够进行操作(可通过窜session,将在下面介绍)

  3)只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)

  (2) 页面权限控制

  1) 必须有登陆权限的页面,是否能够在不登陆情况下进行访问

  2)必须经过A——B——C的页面,是否能够直接由A——C?

  2、URL安全测试

  (1)适用范围: URL中含有参数,也就是通过GET方式传递的HTTP请求

  (2)什么叫GET方式?

  HTTP 定义了与服务器交互的不同方法,最基本的方法是 GET 和 POST。

  GET方式在客户端通过URL提交数据,数据在URL中可以看到,例如在日常中订购服务:

  http://www.cnblogs.com/javame/index.htm?servId=2

  POST方式,数据放置在HTML HEADER内提交,数据在URL中看不到

  GET只能传输比较少的数据,安全性较低,POST传输数据较多,安全性也比GET高

  (3)测试关注点:

  1) URL 参数检查:

  A: 对URL中参数信息检查是否正确

  如:URL中的订单号、金额允许显示出来的话,需要验证其是否正确

  B: 对于一些重要的参数信息,不应该在URL中显示出来

  如:用户登陆时登录名、密码是否被显示出来了 ,

  2) URL参数值篡改

  修改URL中的数据,看程序是否能识别:

  如:对于以下URL,修改其中planId,看是程序是否可以识别:

  http://www.cnblogs.com/javame/index.htm?planId=878

  又如:对于URL中包含金额参数的,修改金额看是否能够提交成功(可能导致用户把2元金额改成1元金额能提交),还有修改订单号等重要信息看是否会报错

  3) URL中参数修改进行XSS注入:

  什么是XSS?

  XSS的全称是Cross Site Script(跨站点脚本)

  XSS的原理很简单,即进行脚本注入,URL执行时即把此脚本进行了执行,一般都是JavaScript脚本。

如“http://www.cnblogs.com/javame/index.asp?IDClass=2&ClassName=abc”

改成“http://www.cnblogs.com/javame/index.asp?IDClass=2&ClassName=abc<script>alert("hello");</script>”

看看有没弹出对话框显示hello,有的话就有跨站漏洞。

  在URL中进行XSS注入,也就是把URL中的参数改成JS脚本。

4) URL参数中进行SQL 注入

  什么是SQL注入?

  SQL注入全称是SQL Injection ,当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击,如查询、插入数据时。

  测试方法: URL中写入SQL注入语句,看是否被执行

如:www.cnblogs.com/javame这个网站中,选择登陆

设置用户名为 admin ' or '1'='1 密码为任意数字 ,点击登录就可以登陆。

  一般情况下要进行SQL注入攻击,需要对数据库类型、表名、判断逻辑、查询语句等比较清楚才能够写出有效的SQL注入语句。

  3、表单提交安全测试

  适用范围:有表单提交的地方、有HTTP请求的地方(包括GET、POST请求)

  测试关注点:

  1) 表单中注入XSS脚本

  什么是XSS?这已在上一节中说明。URL中需要检测XSS注入,表单中更需要验证

  测试方法:即在表单填写框中直接注入JS脚本

  如在表单中输入XSS脚本,程序是不应该让脚本执行的

  2) 表单中注入SQL 脚本

  与URL中参数进行SQL注入类似,就是在表单中写入SQL注入脚本提交看是否会有问题

  4、Session测试

  (1)Session是客户端与服务器端建立的会话,总是放在服务器上的,服务器会为每次会话建立一个sessionId,每个客户会跟一个sessionID对应。

  并不是关闭浏览器就结束了本次会话,通常是用户执行“退出”操作或者会话超时时才会结束。

  (2)测试关注点:

  1)Session互窜

  Session互窜即是用户A的操作被用户B执行了。

  验证Session互窜,其原理还是基于权限控制,如某笔订单只能是A进行操作,或者只能是A才能看到的页面,但是B的session窜进来却能够获得A的订单详情等。

  Session互窜方法:

  多TAB浏览器,在两个TAB页中都保留的是用户A的session记录,然后在其中一个TAB页执行退出操作,登陆用户B,此时两个TAB页都是B的session,然后在另一个A的页面执行操作,查看是否能成功。预期结果:有权限控制的操作,B不能执行A页面的操作,应该报错,没有权限控制的操作,B执行了A页面操作后,数据记录是B的而不是A的。

  2)Session超时

  基于Session原理,需要验证系统session是否有超时机制,还需要验证session超时后功能是否还能继续走下去。

  测试方法:

  1、打开一个页面,等着10分钟session超时时间到了,然后对页面进行操作,查看效果。

  2、多TAB浏览器,在两个TAB页中都保留的是用户A的session记录,然后在其中一个TAB页执行退出操作,马上在另外一个页面进行要验证的操作,查看是能继续到下一步还是到登录页面。

 

北极星0202
关注
  • 4
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sqlinator:自动将HTTP GET和POST请求转发到SQLMap的API,以测试SQLi和XSS
05-16
使用mitmproxy拦截所有HTTP通信,并自动将HTTP GET&POST请求转发到SQLMap的API,以测试SQLi和XSS 安装 SQLinator仅支持Python> = 3.6 建议使用pipenv install && pipenv shell SQLinator: pipenv install && ...
xss攻击和SQL注入攻击
luan_tianjiao的专栏
08-21 4273
DFX 安全测试-- 告诉你什么是XSSsql注入POST和GET的区别....
a64910807的博客
02-25 938
1、用户权限测试  (1) 用户权限控制   1) 用户权限控制主要是对一些有权限控制的功能进行验证   2) 用户A才能进行的操作,B是否能够进行操作(可通过窜session,将在下面介绍)   3)只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)   (2) 页面权限控制   1) 必须有登陆权限的页面,是否能够在不登陆情况下进行访问   2)...
pikachu靶场第五关——XSS(跨站脚本)之反射型xss(get)(附代码审计)
yzasts的博客
03-18 1234
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
XSS基础
qq_57157540的博客
04-25 3173
a.XSSSQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码(以后称脚本),而SQL注入注入的是SQL命令。 b.XSSSQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷 。 c.SQL注入的SQL命令在用户浏览器中执行,而XSS跨站的脚本在Web后台数据库中执行。 d.XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作;SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器
测试记录-权限管理测试
Smile_Mr的博客
12-27 903
测试记录-权限管理测试
SQL注入系列之PHP+Mysql手动注入(三)----搜索型(POST/GET)
热门推荐
fendo
02-26 1万+
一、搜索型注入简介与原理 1)简介 一些网站为了方便用户查找网站的资源,都对用户提供了搜索的功能,因为是搜索功能,往往是程序员在编写代码时都忽略了对其变量(参数)的过滤,而且这样的漏洞在国内的系统中普遍的存在: 2)原理 $sql="select * from user where password like '%$pwd%' order by pa
SQL注入基础 - 判断注入类型及闭合方式
白帽子续命指南
03-28 8444
判断是否有注入点 一般可能存在注入点的地方就是 url中传参 表单提交 url传参: 以sqli-labs的第一关为例,当我们输入id=1的时候,页面显示正常;当我们输入id=1‘的时候(或者输入1“、1)、) ...
SQL注入点判断及注入方式
HMX404的博客
09-20 1万+
SQL注入类型 一,判断注入点 当参数可控时,看参数是否对数据产生影响,若有影响则可能是注入点。 输入SQL看是否可以产生报错,通过报错信息得到数据库部分语句。 利用引号、双引号、圆括号进行报对。 二,注入方式 get注入 在get传参时写入参数,将SQl语句闭合,后面加写入自己的SQL语句。 ?id=1‘order by 3 #判断有几列利用排序报错,超出列数报错。 ?id=1' union select 111,222,333 #显示回显点。 ?id=1' union select 111,us
pikachu靶场--SQL inject--数字型(post)/字符型(get)/搜索型/xx型注入【4.1】~【4.4】
lmei1228的博客
06-10 652
当我们输入字符的时候,正常情况下,后台会给输入的字符+单引号,把他作为一个整个的字符串来处理,所以我们如果输入的是kobe or 1 = 1,传到后台的时候,or 1 = 1就不会起作用了,因此我们要构造闭合,输入kobe’ or 1 = 1#(#用--替换也可以,都是有着注释的意思,把后面的单引号注释掉),可以看到,它也能实现遍历。首先,打开我们的mysql数据库,use pikachu,然后对表“member”做查询,可以看到当参数为“1”和“1 or 1=1”时,所查询到的结果时大不相同的。
safely-php:在 PHP 中更安全地处理 GETPOST 对象的库
06-09
改造遗留的 PHP 项目支持遗留 PHP 的一个常见问题是旧代码可能没有做足够或适当的验证,这会导致潜在的注入问题(XSS 和 SQL)。 为了缓解这种情况,您需要做三件事在 PHP 文件的开头 requiresecure.php 在执行 PHP ...
taint:Taint是一个PHP扩展,用于检测XSS代码
01-30
php扩展名,用于检测XSS代码(污染的字符串),还可以用于发现sql注入漏洞,shell注入等。 这个想法来自 ,我在php扩展中实现了它,不需要使用补丁。 请注意,请勿在产品环境中启用此扩展程序,因为它会降低您的...
goWAPT:Go Web应用程序渗透测试
01-30
GOWAPT-Go Web应用程序渗透测试 GOWAPT是WAPT的瑞士军刀的弟弟,它可以让pentester毫不费力地执行大型活动,只需对其进行配置,只需单击即可。 如何安装 要安装gowapt只需键入: make sudo make install 用法 从-h...
TestCase4SCA.php:一组用于验证源代码(安全性)分析工具的测试用例-Verification code source code
03-24
一组用于验证源代码(安全性)分析工具的测试用例。 系列1:测试用例包含简单和基本的漏洞。 系列2:在这些情况下,问题已正确解决。 SCA可以识别它吗? 系列3:在这些情况下,问题将被正确解决。 SCA被骗了吗?...
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
试用Dev Containers的示例项目-Go
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和大数据等新兴技术也在不断推动计算机技术的进步。计算机技术的应用广泛,涵盖了各个领域,如商业、医疗、教育和娱乐等。随着计算机技术的不断革新,我们可以更加高效地实现预期自动化、标准化
NTsky新闻发布v1.0测试版(提供JavaBean).zip
04-23
### 内容概要: 《NTsky新闻发布v1.0测试版》是一款基于 Java 开发的新闻发布系统的测试版本,旨在为新闻机构和媒体提供一个简单易用的新闻发布平台。该系统具有基本的新闻发布和管理功能,包括新闻分类、新闻编辑、新闻发布等核心功能。此外,该版本还提供了 JavaBean,使开发人员能够方便地将系统集成到自己的项目中,快速实现新闻发布的功能。 ### 适用人群: 本测试版本适用于新闻机构、媒体从业者以及Java开发人员。如果你是一家新闻机构或媒体,希望拥有一个简单易用的新闻发布平台,方便快捷地发布和管理新闻,那么这个测试版本将为你提供一个初步的体验。同时,如果你是一名Java开发人员,希望学习和掌握新闻发布系统的开发技术,并且对新闻行业有一定的了解,那么通过这个测试版本,你可以获取到一些JavaBean,并且可以参考系统的设计和实现,为你的项目开发提供参考和借鉴。无论是从业务需求还是技术学习的角度,该测试版本都将为你提供一定的帮助和支持。
JavaScript介绍.zip
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
15-21.php
04-23
15-21.php
ctf中get和post
07-27
CTF中的GET和POST是两种常见的HTTP请求方法。...在CTF中,了解和熟悉GET和POST的使用方法以及相关的安全问题非常重要。这样可以更好地理解和分析Web应用程序的漏洞,并且能够开发出相应的攻击或防御策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值