安全测试中手工测试类型分为:
xss(存储型跨站漏洞)
业务需求信息泄露
CSRF
Jsonp劫持
权限校验
登录安全
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~以下就各个类型进行讲解~~~~~~~~~~~~~~~~~~~~~~
一.XSS漏洞
1.定义
跨站脚本攻击,通过恶意攻击者往Web页面插入恶意Js代码,当用户浏览,嵌入的代码会被执行,恶意攻击用户控制浏览器的行为
本地用户在输入框输入的内容未经过过滤展示在页面是编码后的效果,就可能是xss漏洞,利用xss漏洞可以获取用户登录名和密码等敏感信息。
2.漏洞分类
反射型:攻击者把跨站代码写在链接中,受害者请求该链接时,跨站代码经过服务端反射回来触发,这样代码不会存储到服务端。
存储型 :攻击者将恶意数据存储到服务端的数据库中,服务器脚本从数据库中获取该数据后,没有进行安全处理就显示在页面上,受害者访问该页面数据就泄漏。
DOM型 :由js脚本动态创建,输出到页面造成的。此类型不需经过服务器。
3.测试中常见xss脚本攻击问题
(1)输入框:html转义,输入过滤,输出转义。
比如 转义后是空格,在输入框内输入 后如何转义成" ",就是未做安全过滤
< 转义后是 <
> 转义后是 >
(2)输入框内容类型限制
输入:非字符串或有固定值时,事先进行类型/值检查
二.业务需求信息泄露
1.定义
业务需求本身设计的敏感信息未做脱敏或加密,未做权限校验,敏感信息可遍历化查询,导致大量敏感信息泄露,从而造成黑产诈骗,威胁整个系统的信息安全。
2.类型
敏感信息未脱敏或加密:比如姓名,手机号。地址,订单信息,身份证,银行卡,账号,昵称,邮箱,个人图片地址,业务敏感数据,秘钥等
权限未校验:前后端展示不一致,未做权限校验
3.测试中业务敏感数据测试流程
(1)测试敏感数据流程
业务确认敏感数据,敏感数据范畴 Burpsuite抓包或浏览器请求查看
敏感数据前端展示与接口提供是否一致 ,查看请求接口或json,查看敏感数据是否加密或脱敏展示
无权限是否可以进行高级权限的信息查看,数据增删改等....
三.CSRF(跨站请求伪造)
待续....