用户权限测试
对一些有权限控制要求的功能进行验证。
敏感信息测试
用户密码没有加密显示或者存储、传输时是否被加密,银行卡号、手机号码等信息是否经过加密处理。
跨站脚本漏洞
跨站脚本有两种漏洞类型:存储式、反射式,这两种可能发生在服务器也可能发生在客户端。
- 避免服务器XSS:对所有不可信数据进行恰当的转义;
- 避免客户端XSS:避免传递不受信任的数据到js。
web安全测试的测试点很多,手工测试很难完整的找出所有切入点,对每个切入点进行全面的检查也会耗费大量测试人员的时间精力。
03 Web安全测试工具AppScan
AppScan其实是一个产品家族,包括众多的应用安全扫描产品:
- 对开发阶段的源代码进行扫描的AppScan source edition
- 对Web应用进行快速扫描的AppScan standard edition
- 进行安全管理和汇总整合的AppScan enterprise Edition
AppScan工具扫描的步骤如下:
1.提前备份数据库;
2.创建新的常规扫描;
3.登录方法,如果要输入验证码,选择提示方式
4.测试策略选择缺省值,也支持自定义配置;
5.启动全面扫描;
6.初次探索性扫描之后,工具会给出扫描专家建议,填写环境配置等;
7.继续全面扫描,工具下方可以看到已访问的页面数、已测试的元素数、发送的请求数;
8.全面扫描完成后,工具已经完成了自动探索和测试,此时可以进行手动探索;
9.手动探索结束,工具会继续对手动探索到的页面继续进行安全扫描;
10.等待扫描完成,扫描结果将以报告的形式输出。
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
