Web 应用程序安全测试指南

最新推荐文章于 2023-11-08 15:21:08 发布
最新推荐文章于 2023-11-08 15:21:08 发布
阅读量522 收藏 4
点赞数
分类专栏: 安全测试 文章标签: 安全性测试 web安全 测试基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a883774913/article/details/125408285
版权

在这里插入图片描述

文章目录

由于Web应用程序中存储了大量数据以及Web上事务数量的增加,因此对Web应用程序进行适当的安全测试正变得越来越重要。

在本教程中,我们将对网站安全测试中使用的含义,工具和关键术语及其测试方法进行详细研究。

什么是安全测试?

安全测试是一个检查机密数据是否保持机密的过程(即,它不会暴露给其目的的个人/实体),并且用户只能执行他们有权执行的任务。

例如, 用户不应能够拒绝其他用户使用网站的功能,或者用户不应能够以意外方式更改Web应用程序的功能等。

安全测试中使用的一些关键术语

在我们继续之前,熟悉一些在Web应用程序安全测试中经常使用的术语将是有用的。

什么是“漏洞”?

这是 Web 应用程序中的一个弱点。这种“弱点”的原因可能是由于应用程序中的错误,注入(SQL /脚本代码)或病毒的存在。

什么是“网址操作”?

某些 Web 应用程序在 URL 中的客户端(浏览器)和服务器之间传递其他信息。更改 URL 中的某些信息有时可能会导致服务器出现意外行为,这称为 URL 操作。

什么是“SQL注入”?

这是通过 Web 应用程序用户界面将 SQL 语句插入到某个查询中的过程,然后由服务器执行该查询。

什么是“XSS(跨站点脚本)”?

当用户在 Web 应用程序的用户界面中插入 HTML/客户端脚本时,此插入对其他用户可见,它被称为 XSS

什么是“欺骗”?

欺骗是创建恶作剧外观相似的网站和电子邮件。

安全测试方法

为了对Web应用程序执行有用的安全测试,安全测试人员应该对HTTP协议有很好的了解。了解客户端(浏览器)和服务器如何使用HTTP进行通信非常重要。

此外,测试人员至少应该知道SQL注入和XSS的基础知识。

希望 Web 应用程序中存在的安全缺陷数量不会很高。但是,能够准确描述所有安全缺陷以及所有必需的详细信息肯定会有所帮助。

网络安全测试方法

(1)密码破解

Web应用程序的安全测试可以通过“密码破解”来启动。为了登录到应用程序的私有区域,可以猜测用户名/密码或使用一些密码破解工具。常见的用户名和密码列表以及开源密码破解程序都可用。

如果 Web 应用程序不强制执行复杂的密码(例如, 使用字母、数字和特殊字符或至少具有所需字符数),则破解用户名和密码可能不需要很长时间。

如果用户名或密码存储在 Cookie 中而未加密,则攻击者可以使用不同的方法来窃取 Cookie 以及存储在 Cookie 中的信息,如用户名和密码。

(2) 通过 HTTP GET 方法进行 URL 操作

测试人员应检查应用程序是否传递查询字符串中的重要信息。当应用程序使用 HTTP GET 方法在客户端和服务器之间传递信息时,会发生这种情况。

信息通过查询字符串中的参数传递。测试人员可以修改查询字符串中的参数值,以检查服务器是否接受它。

通过HTTP GET请求将用户信息传递到服务器进行身份验证或获取数据。攻击者可以操纵从此 GET 请求传递到服务器的每个输入变量,以获取所需信息或损坏数据。在这种情况下,应用程序或Web服务器的任何异常行为都是攻击者进入应用程序的大门。

(3) SQL 注入

应该检查的下一个因素是SQL注入。在任何文本框中输入单引号 (') 应被应用程序拒绝。相反,如果测试人员遇到数据库错误,则意味着用户输入入到某个查询中,然后由应用程序执行。在这种情况下,应用程序容易受到 SQL 注入的攻击。

SQL注入攻击非常关键,因为攻击者可以从服务器数据库获取重要信息。要检查Web应用程序中的SQL注入入口点,请从代码库中找出代码,其中通过接受一些用户输入在数据库上执行直接MySQL查询。

如果在 SQL 查询中精心构造用户输入数据以查询数据库,则攻击者可以将 SQL 语句或部分 SQL 语句作为用户输入注入,以从数据库中提取重要信息。

即使攻击者成功使应用程序崩溃,从浏览器上显示的SQL查询错误中,攻击者也可以获得他们正在寻找的信息。在这种情况下,应正确处理/转义用户输入中的特殊字符。

(4) 跨站点脚本 (XSS)

测试人员还应检查Web应用程序的XSS(跨站点脚本)。任何 HTML 例如, < HTML> 或任何脚本 例如

攻击者可以使用此方法在受害者的浏览器上执行恶意脚本或 URL。使用跨站点脚本,攻击者可以使用 JavaScript 等脚本来窃取用户 Cookie 和存储在 Cookie 中的信息。

许多 Web 应用程序获取一些有用的信息,并将此信息传递给来自不同页面的一些变量。

例如, http://www.examplesite.com/index.php?userid=123&query=xyz

攻击者可以很容易地将一些恶意输入或<script>作为“&query”参数传递,该参数可以浏览浏览器上重要的用户/服务器数据。

重要: 在安全测试期间,测试人员应非常小心,不应修改以下任何内容:

  • 应用程序或服务器的配置。
  • 服务器上运行的服务。
  • 应用程序托管的现有用户或客户数据。

此外,应避免在生产系统中进行安全测试。

佛系的老肖
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web安全测试操作指导书_华为v1.0.doc
02-27
此操作指导旨在通过一套标准化的可重复使用的快速测试方法,提供一套经过整合和简化的测试用例,供Web安全测试人员快速发现漏洞。
安全测试参考指南
07-31 496
最近对接口安全测试方面的内容进行了总结,主要包括以下内容 一、授权 1. 接口请求方法应该与接口设计一致,过滤不允许的请求方式。对不允许的请求方式,可以返回HTTP状态码 405 Method not allowed 2. 对用户的API KEY或者SESSION TOKEN应该限定访问权限,并设置明确的有效期 二、输入确认 1. 检查请求Header中的Content-Ty...
记一次网络安全渗透测试实战指南
kali_Ma的博客
10-25 4321
基于一次授权的渗透把一些思路整理一下,本次的重点在以洞打洞原则发现一个小洞顺藤摸瓜发现更多的高危甚至严重问题,像我们日常渗透有这样一步步思路进行收获都不小,当然了运气可以省很大部分时间和心思,一步到位的欧皇也是存在。
APP的安全性测试指南——测试工具Drozer
软件测试技术资源分享官
11-08 534
移动 App 的广泛应用,必然伴随着新的应用安全威胁。这些攻击与以前经典的 web app 无关。据 NowSecure 的最新研究表明,有 25% 的 App 包含高风险漏洞,常见的安全漏洞如下:
【网络安全】渗透测试入门指南,新手必看!
瓦罗兰特顶级C位的博客
06-09 1617
渗透测试工程师就相当于特种部队里面的特战队员,我们需要对我们的目标做一次渗透,以测试目标的防护能力。渗透测试工程师就相当于矛,目标就相当于盾
安全测试指南
weixin_30606669的博客
11-18 209
测试方法 1、Web应用安全测试 1.1、 Web应用安全测试概述 Web应用安全测试只侧重于评估Web应用的安全性。这个过程包括主动分析应用程序的所有弱点、技术缺陷和漏洞。任何被发现的安全问题连同影响评估、缓解建议或者技术方案一起提交给系统所有者。 1.2、 什么是OWASP测试方法 测试模型 测试人员:执行测试活动的人 工具和方法:本测试指南项目的核心 应用:黑盒测试的对...
应用安全测试与分析能力指南
qq_18209847的博客
12-13 782
近几年来,开源组件导致的安全问题频发:2017年美国征信公司Equifax因未修复Apache Struts中的漏洞,导致大规模个人信息泄露;2020年SolarWinds被黑客入侵,直接导致其客户都受到攻击威胁;2021年Log4j漏洞曝出,引起全球企业忧心忡忡,而美国网络安全审查委员会更是认为该漏洞可能会影响十年之久。开源组件的问题引发了对软件供应链安全的关注热潮。软件供应链安全经常和开发安全相挂钩——这一定程度上是可以理解的,因为大量的企业会使用开源组件来开发自己环境中所需要的应用。
前端(十七)——Web应用的安全性研究
杜永康的博客
09-06 945
前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性纳入开发流程中,并采取适当的措施来保护应用程序和用户数据的安全用户数据保护:前端安全性确保用户输入和敏感数据得到充分保护,防止被未经授权的访问或窃取。通过有效的输入验证、数据加密和安全的身份验证机制,可以保护用户的个人信息、密码和其他敏感数据。防止跨站脚本攻击
软件安全测试-web安全测试基础
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-10 2564
通过该文,你可以系统了解web安全测试的范围,类型,相关技术Cooike,Session,Token。
新手入门:Web安全测试大盘点
NHB456789的博客
08-05 279
Web应用软件来说,安全性包含Web服务器、数据库、操作系统以及网络的安全等,只要其中任何一个部分出现安全漏洞,都会导致整个系统的安全性问题。Web安全测试是比较难解决的问题,这个取决于测试要达到什么程度。简单说软件不可能做到100%的测试,所以也不要期望可以达到100%的安全。在实际测试过程中,测试人员主要是针对用户的权限以及数据库的安全性进行测试,还可以借助IBM的安全漏洞扫描工具APPScan来进行漏洞扫描。【下面是我整理的2023年最全的软件测试工程师学习知识架构体系图】
OWASP安全测试指南第四版(中文版).pdf
05-27
OWASP 测试指南 4.0 中文版(最新版)。
Web应用程序完全测试指南
03-01
大量的优质应用逐渐提升了用户的品味,也降低了用户的容忍度,如果你的Web应用无法使用户...在完成了Web应用的设计和开发工作后,并不意味着你就可以直接发布了,你还需要从各方面来对其进行测试,以便让用户在使用过
Web应用程序完全测试指南.docx
07-14
Web应用程序完全测试指南.docxWeb应用程序完全测试指南.docxWeb应用程序完全测试指南.docxWeb应用程序完全测试指南.docxWeb应用程序完全测试指南.docxWeb应用程序完全测试指南.docxWeb应用程序完全测试指南.docxWeb...
TT 安全技术专题之“Web 应用程序安全手册”
05-08
《TT 安全技术专题之“Web 应用程序安全...需要注意的是,本手册并不是一份完整的Web应用程序安全指南,读者在使用本手册时需要结合实际情况进行分析和判断。同时,本手册中提供的安全防范措施并不能保证100%的安全性
Web应用安全测试扫盲
所寫即所思|一个阿里质量人对测试的所感所悟。
10-07 1417
简单理解安全测试就是一个测试机密数据是否安全的过程(即验证数据不会被没有权限的个人访问到)。关键术语什么是“漏洞”?就是Web应用程序中的一个缺陷。这种“缺陷”的原因可能是由于应用程序中的错误、注入(SQL/脚本代码)或病毒的存在。什么是“URL操作”?Web应用会通过URL在客户端(浏览器)和服务器之间传递信息。更改URL中的一些信息有时可能会导致服务器的意外行为,这被称为URL操作。
web平台安全测试方案
PengDQ12的博客
07-27 5643
收集测试的资料平台网页的URL,用户名以及密码(最好不是超级用户,可以测试越权),Web服务器的IP(可以提供服务器的远程登录账号,以便观察测试过程中对服务器的性能影响)。需要告知开发此次测试的时间,沟通好后才能进行安全测试,并且将测试的范围,方法和相关风险提前告知,及时做好相关数据代码、环境的备份。可以选择自定义,点击”完全扫描配置“可手动修改/自定义你的测试策略,自定义后,点击应用和确定,然后点击下一步。点击“报告”按钮,选择报告模板、报告内容、布局等内容(按照需求选择),点击“保存报告”按钮,...
Web应用安全测试
aojie80的专栏
02-15 7873
缩略语清单 缩略语 全称 CRLF \r\n回车换行 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 MML man-machine language 人机交互语言
web安全开发测试指南pdf红日安全
最新发布
11-30
web安全开发测试指南pdf红日安全是一本关于Web安全开发和测试指南,由红日安全编写。这本指南主要旨在提供给开发人员和测试人员一些关于如何开发和测试安全Web应用程序的实用技巧和建议。 这本指南首先介绍了Web应用程序的常见安全威胁和攻击技术,例如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和SQL注入等。它详细解释了这些威胁和攻击技术的工作原理,并提供了一些防御措施和最佳实践,以帮助开发人员编写更加安全的代码。 指南还介绍了一些常用的Web安全测试工具和技术,包括漏洞扫描器、Web应用程序防火墙(WAF)和代码审计等。它解释了如何使用这些工具和技术来测试和评估Web应用程序安全性,并提供了一些建议,以帮助测试人员发现和修复潜在的安全漏洞。 除了具体的技术和工具以外,指南还强调了开发团队和测试团队之间的合作和沟通的重要性。它鼓励开发人员和测试人员在整个开发过程中共同努力,共同关注Web应用程序安全性,从而确保最终构建出安全可靠的Web应用程序。 总之,web安全开发测试指南pdf红日安全为开发人员和测试人员提供了一份实用的指南,帮助他们更好地了解和应对Web应用程序安全性挑战。这本指南的出版对于促进Web应用程序安全开发和测试具有积极的推动作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

佛系的老肖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值