WEB安全性测试之 -认证与授权、Session与Cookie、DDOS拒绝服务攻击

最新推荐文章于 2022-11-05 14:55:22 发布

I2571986

最新推荐文章于 2022-11-05 14:55:22 发布

阅读量1.8k

点赞数 1

分类专栏：测试

测试专栏收录该内容

12 篇文章 0 订阅

订阅专栏

WEB安全性测试之

---认证与授权、Session与Cookie、DDOS拒绝服务攻击

来自视频的笔记整理

1、认证与授权

1）认证：是否可以直接登录

2）授权：是否有权限删除等

3）避免未经授权的页面可以直接访问

2、Session与Cookie

1）SessionID－Cookie欺骗

2）避免保存敏感信息到Cookie中：姓名、密码等

3）cookie的作用域：不同的应用系统不同的作用域

以phpwin和aglione为例，都存在htdoc文件下，分析进行登录的操作

在IE浏览器中寻找到密码存储的地方

工具——

因为path的作用域时／即localhost/ 因为phpwin和aglione的作用域相同，所以当查看cookiedenny时，里面的内容将会是phpwin和aglione登陆的内容。

这种情况针对租用的服务器，因为虽然是不同的域名，但是对应的是相同的根目录，最好的方法是根目录下就有一个网站，这样就可以避免cookie交叉的问题

3、DDOS分布式的拒绝服务攻击

向服务器发请求，损人不利已

1）肉鸡，埋木马——－服务器足够强大

2）攻击联盟

3）利用TCP建立连接的规则：客户端模拟一个不存在的IP地址，发送给服务端；服务端处理完后就返回，但是这时已经找不到对应的IP，连接就会等待，直到超时。

a、C-> S

b、S-->C

c、C->S

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

I2571986

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

安全性测试之认证授权

zzzmmmkkk的专栏

11-29

6326

在web安全中，认证授权又是每个人都熟知的，就像我们都应该设置一个高强度的密码，以免被猜测破解，实际上还包括更多内容。 1. 权限在很多系统如CRM，ERP，OA中都有权限管理，其中的目的一个是为了管理公司内部人员的权限，另外一个就是避免人人都有权限而帐号泄漏后会对公司带来的负面影响。权限一般分为2种：访问权限和操作权限。访问权限即是某个页面的权限，对于特定的一些页面只有特定

【网络安全】——服务端安全（注入攻击、认证与会话管理和访问控制、访问控制、加密算法与随机数、Web框架安全、应用层拒绝服务攻击DDOS）

Veeupup博客

04-12

1104

服务端常见安全问题，包括注入攻击（SQL注入）、认证与会话管理和访问控制、访问控制、加密算法与随机数、Web框架安全、应用层拒绝服务攻击DDOS、Web Server安全等方面。

参与评论您还未登录，请先登录后发表或查看评论

安全测试学习笔记一(Cookie&Session)

08-02

1084

一，Session：含义：有始有终的一系列动作/消息1，隐含了“面向连接” 和“保持状态”两种含义2，一种用来在客户端与服务器之间保持状态的解决方案3，也指这种解决方案的存储结构“把××保存在session里”二， http 协议本来是无状态的，所以引进了cookie和session机制来保持连接状态cookie与session 机制之间的区别与联系：

安全测试之认证授权

weixin_34259232的博客

07-03

293

　在web安全中，认证授权又是每个人都熟知的，就像我们都应该设置一个高强度的密码，以免被猜测破解，实际上还包括更多内容。　　1. 权限　　在很多系统如CRM，ERP，OA中都有权限管理，其中的目的一个是为了管理公司内部人员的权限，另外一个就是避免人人都有权限而帐号泄漏后会对公司带来的负面影响。　　权限一般分为2种：访问权限和操作权限。访问权限即是某个页面的...

20. Cookie 和 Session

weixin_34051201的博客

06-12

119

之前我们在Cookie 和Session是什么？已经说过Cookie 和Session，但是为了保证系列的完整性，我们决定重新说一遍，当然可能会有一些区别，建议先从Cookie 和Session是什么？开始看。 Cookie Cookie 定义 Cookie，又称为“小甜饼”。类型为“小型文本文件”，指某些网站为了辨别用户身份而储存在用户本地终端（Client Side）上的数据（通常经过加密）。...

Web Api 2 认证与授权 2

weixin_30394669的博客

06-23

129

HTTP Message Handler 在 Web Api 2 认证与授权中讲解了几种实现机制，本篇就详细讲解 Message Handler 的实现方式关于 Message Handler 在 request 到 response 过程所处于的位置，可以参考这里HTTP Message Handlers Authentication Message Handler 先看一段...

Kali安全测试 Web白帽子高级工程师-高级课程：深入探讨COOKIE机制与Linux命令调用

# 1. Web安全概述 ## 1.1 Web安全的重要性 ...- 保护企业机密与资产安全：企业通过Web应用进行业务运营、客户管理和数据存储，因此Web安全问题的暴露将直接影响企业的机密和资产安全。 - 维护网络安全稳定：We

web安全性测试

zhimalvdouxixi的博客

10-10

929

安全性测试主要是指利用安全性测试技术，在产品没有正式发布前找到潜在漏洞。找到漏洞后，需要把这些漏洞进行修复，避免这些潜在的漏洞被非法用户发现并利用。像我们测试中找软件产品bug一样，安全漏洞也是很难完全避免的。黑客攻击技术会层出不穷，而无论怎么样，我们所做的web网站一定是需要对用户提供一些服务，会开放一些端口，甚至给用户提供一些输入的界面，而这些方面都有可能成为漏洞的载体。还有一个主要原因是因为程序员在开发过程中很可能会埋下一个漏洞，或者人为的安全性漏洞，都是需要我们去避免的。对于we...

DDoS攻击--CC攻击防护详解(HTTP)

Srsshier的博客

11-05

1197

因此，高效的 HTTP/CC 攻击应不断发出针对不同资源和页面的 HTTP 请求，并尽可能请求无法被缓存的资源（如关键词搜索结果、用户相关资料等），这样才能更好的加重服务器的负担，达到理想的攻击效果。想办法对这二者作出判断，选择性的屏蔽来自机器的流量即可。客户端如果是一个正常的浏览器，那么就会支持http头中的set cookie和302重定向指令，将带上正确的Token再次访问页面，这时候后台检测到正确的Token，就会放行，这之后用户的Http请求都会带有这个Token，所以并不会受到阻拦。

测试人必知的Web安全相关面试题，加分必看！

A18285759691的博客

10-06

641

在早期互联网技术还没有那么发达的时候，发起DoS攻击是一件很容易的事情：一台性能强劲的计算机，写个程序多线程不断向服务器进行请求，服务器应接不暇，最终无法处理正常的请求，对别的正常用户来说，看上去网站貌似无法访问，拒绝服务就是这么个意思。包括，测试人技术进阶路径图，50多天的视频教程、16个项目实例，30多个测试工具，37份测试文档，70个软件测试相关问题，40篇测试经验级文章分享，还有软件测试面试小程序，求职简历的优化模板。但限于一些方面的原因，这项技术并没有大规模用起来，尤其在国内，鲜有部署应用。

安全测试初探（二）session测试篇

Linfosheng1的博客

04-01

1767

1.1.Session会话固定测试 1.1.1测试原理和方法 Session是应用系统对浏览器客户端身份认证的属性标识，在用户退出系统时应将客户端session认证属性标识清空。如果未能及时清空客户端session标识，下次登录时系统会重复利用该session标识进行认证会话。攻击者可以利用该漏洞生成固定的session会话，诱骗用户利用攻击者生成的固定会话进行系统登录，从而导致用户会话认证被窃取...

cookie，session傻傻分不清楚？

weixin_30888413的博客

06-07

373

做了这么多年测试，还是分不清什么是cookie，什么是session？很正常，很多初级开发工程师可能到现在都搞不清什么是session，cookie相对来说会简单很多。下面这篇文章希望能够帮助大家分清楚这两个技术的区别和他们对应的使用场景。一）.cookie的特点： cookie是一门客户端缓存技术 cookie数据由服务器生成，发送给浏览器保存 cookie数据的格式：键值对 ...

【测试必须懂系列】Cookies和Session

weixin_44830681的博客

01-10

456

python 接口自动化测试（四）cookie&session

weixin_30319097的博客

07-06

168

　　掌握了前面几节的的内容，就可以做一些简单的http协议接口的请求发送了，但是这些还不够。HTTP协议是一个无状态的应用层协议，也就是说前后两次请求是没有任何关系的，那如果我们测试的接口之前有相互依赖关系怎么办呢（比如我要在博客园发文章，是需要先登录的），这时我们就要用到cookie和session技术来保持客户端与服务器端连接的状态，这也就是本节要介绍的内容：一、Cookie: 1...

Cookie和Session详细接介绍+Servlet实例测试

Zhou_LC的博客

03-11

250

Cookie 实例测试： 1）主要代码 Cookie保存用户上一次访问的时间 public class CookieDemo01 extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { req.setCharacterEncoding("UTF-8")

cookie、session、token的关系及测试

wyy_a的博客

09-19

734

cookie存储在浏览器缓存中，字段内容是请求可以通过set_cookie设置，只要登录后，不论下发这个域名的哪个请求都会携带这个相同的cookie数据下发到请求session存储在服务器端，有一个关联id,将session信息与cookie进行关联有可能会暴露在F12请求中，有一个set_cookie:session=****会话登录后，会有一些登录信息需要保存到session里，证明用户是已经登录的，比如用户id,登录时间、权限等。

Cookie和Session的使用和区别

zhaisharap的专栏

08-20

318

Cookie和Session Cookie中译小甜饼，是网页浏览器用来保存用户信息的文件，可以保存比如用户是谁，购物车有哪些商品等。 Session会话，会话是指我们访问网站的一个周期。比如用户打开一个浏览器访问某个位的站点。在这个站点点击多个超链接查看各个网页，然后关闭浏览器，整个过程称之为一个会话。我们浏览网页使用...

Session 和 Cookie

测试小白的晋级之路的博客

04-03

816

由于 HTTP 协议是一个无状态协议，Web 应用程序无法区分请求是否来源于同一个浏览器，为了跟踪用户状态（如用户身份、登录状态等），需要 Session 与 Cookie 机制。

安全测试总结

移木成林博客

02-16

1159

一、安全测试概述　　程序员在开发过程中，会有意或无意地埋下一些漏洞，而发现这些安全性漏洞，寻求有效的解决方法则是测试工程师义不容辞的责任。　　安全测试主要涉及以下内容：　　1、认证与授权授权：在网站中不同的角色有不同的权限。认证：一些网页访问需要输入密码进行登录认证。　　在认证与授权中要尽可能避免出现漏洞，否则将被不法分子有意地进行利

Web认证中的Cookie技术：安全性与实现

本文深入探讨了Cookie在Web认证中的应用及其安全性问题。 Cookie是由Web服务器发送到客户端（浏览器）的一小段文本信息，当浏览器再次向同一服务器发起请求时，它会自动将Cookie回传给服务器。Cookie通常包含一个...