安全测试(二)

最新推荐文章于 2022-09-01 16:36:33 发布
最新推荐文章于 2022-09-01 16:36:33 发布
阅读量320 收藏
点赞数
分类专栏: 白帽安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzl0524/article/details/82842339
版权

安全测试中手工测试类型分为:

xss(存储型跨站漏洞)

业务需求信息泄露

CSRF

Jsonp劫持

权限校验

登录安全

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~以下就各个类型进行讲解~~~~~~~~~~~~~~~~~~~~~~

一.XSS漏洞

1.定义

跨站脚本攻击,通过恶意攻击者往Web页面插入恶意Js代码,当用户浏览,嵌入的代码会被执行,恶意攻击用户控制浏览器的行为

本地用户在输入框输入的内容未经过过滤展示在页面是编码后的效果,就可能是xss漏洞,利用xss漏洞可以获取用户登录名和密码等敏感信息。

2.漏洞分类

反射型:攻击者把跨站代码写在链接中,受害者请求该链接时,跨站代码经过服务端反射回来触发,这样代码不会存储到服务端。

存储型 :攻击者将恶意数据存储到服务端的数据库中,服务器脚本从数据库中获取该数据后,没有进行安全处理就显示在页面上,受害者访问该页面数据就泄漏。

DOM型 :由js脚本动态创建,输出到页面造成的。此类型不需经过服务器。

3.测试中常见xss脚本攻击问题

(1)输入框:html转义,输入过滤,输出转义。

比如 转义后是空格,在输入框内输入 后如何转义成"  ",就是未做安全过滤

&lt; 转义后是 <

&gt; 转义后是 >

(2)输入框内容类型限制

输入:非字符串或有固定值时,事先进行类型/值检查

二.业务需求信息泄露

1.定义

业务需求本身设计的敏感信息未做脱敏或加密,未做权限校验,敏感信息可遍历化查询,导致大量敏感信息泄露,从而造成黑产诈骗,威胁整个系统的信息安全。

2.类型

敏感信息未脱敏或加密:比如姓名,手机号。地址,订单信息,身份证,银行卡,账号,昵称,邮箱,个人图片地址,业务敏感数据,秘钥等

权限未校验:前后端展示不一致,未做权限校验

3.测试中业务敏感数据测试流程

(1)测试敏感数据流程

业务确认敏感数据,敏感数据范畴 Burpsuite抓包或浏览器请求查看

敏感数据前端展示与接口提供是否一致 ,查看请求接口或json,查看敏感数据是否加密或脱敏展示

无权限是否可以进行高级权限的信息查看,数据增删改等....

三.CSRF(跨站请求伪造)

待续....

 

 

海是倒过来的天~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
apk短信验证码安全测试.pdf
05-05
上一篇得到发送验证码请求的sign签名算法后,这篇主要介绍4位纯数字验证码burp插件的编写。介绍验证码插件之前,我们先介绍一下验证码插件会用到的三个burp接口IIntruderPayloadGeneratorFactory、...
数据脱敏为何如此重要?
Dsphere_shuying的博客
09-05 647
目前,在数字经济大背景下,海量数据在各种信息系统上被存储和处理,其中包含大量有价值的敏感数据。敏感数据主要可能有个人隐私数据、企业业务数据,还有数据分级分类之后安全级别很高的核心数据。
LeetCode SQL limit & offest 用法
Wjf7496的博客
10-11 243
limit & offest 找第高薪水 select max(Salary) as SecondHighestSalary from Employee where Salary < (select max(Salary) from Employee) -- 最好的方法limit 和offset用法 SELECT (SELECT DISTINCT Salary FROM Employee ORDER
漏洞解决方案-敏感信息脱敏显示
smart的博客
08-27 7093
漏洞解决方案-敏感信息脱敏显示前置知识修复方案代码参考 前置知识 银行业务复杂繁多,前端与后台的信息交互频繁,容易出现敏感信息泄露问题。 威胁描述: 如果客户敏感信息泄露,将会对银行造成客户流失以及声誉的影响。 涉及功能点: 任何涉及客户敏感信息显示的功能点。 修复方案 js代码中应减少不必要的注释,避免暴露过多业务逻辑,防范敏感信息泄露,新功能上版本验证测试的时候可以对js代码压缩或者在开发阶段减少不必要的业务逻辑注释; 交易开发过程中,开发人员需要根据具体业务场景返回给页面或渠道相应数据,避免返回多
安全测试学习(一)常见安全漏洞
我的成长之路
02-11 4215
常见的安全测试类型 登录失败提示信息 需要模糊提示,如“用户名或密码错误”,不能精确提示 登录失败次数限制或验证码刷新 登录失败后需要自动刷新验证码;达到一定失败次数后需要限制登录 登入登出前后,session值需要发生变化 Chrome如何查看sessionID:高级设置–内容设置–Cookie 目录遍历 只输入系统IP,在后面添加…/…/,查看是否能回到上级目录 网址后面加上./WEB-I...
移动APP漏洞自动化检测平台建设
移木成林博客
02-27 1328
前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。 一、国内Android App漏洞检测
1.logstash实现敏感信息脱敏及超长字符截取
wang37444的专栏
05-07 4053
我们通过filebeat收集的日志通常没有进行敏感信息脱敏工作,以及一些base64超长字符如果不做处理,存储到es及在kibana展示也会耗费性能。 针对这两个问题我们可以进行如下配置: 1.设置超长字符截取 进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下: filter { if [type] == "filebeat" { grok ...
网络信息安全之敏感信息在传输、显示时如何加密和脱敏处理
wangpf2011的博客
01-25 9852
客户端通过http协议获取系统重要敏感信息时,很容易造成敏感信息泄露。攻击者可以利用收集的重要敏感信息有针对性的制定计划对系统进行攻击。如何防护呢?首先应根据业务特点定义出系统存储的敏感信息,另外敏感信息在存储、传输、显示时应进行加密或脱敏处理。 1、敏感数据上传 客户端将敏感数据加密后上传至服务端,敏感信息Data采用对称加密算法进行加密传输,对称加密密钥Key采用非对称加密传输。具体步骤如下所示。 1)服务端生成有效密钥对,并将PublicKey返回给客户端。公私钥在一个会话周期内有效,若重新登录
软件安全测试新武器
03-23
多年的安全测试经验告诉我们,做好软件安全测试的必要条件是:一是充分了解软件安全漏洞,是拥有高效的软件安全测试技术和测试工具。  软件安全测试是保证软件能够安全使用的最主要的手段,如何进行高效的安全...
2024软件安全测试.doc
04-25
静态代码安全测试(Static Application Security Testing,简称SAST)是一种在软件的编码和设计阶段分析源代码、字节码或进制文件以识别潜在安全漏洞的技术。这种测试方法不需要运行被测应用程序,可以在软件开发...
安全测试学习笔记(对于top10漏洞的分析)
03-23
1,问题:没有被验证的输入测试方法:数据类型(字符串,整型,实数,等)允许的字符集  1,问题:没有被验证的输入  测试方法:  数据类型(字符串,整型,实数,等)  允许的字符集  最小和最大的长度  是否允许...
数据脱敏和数据加密的区别
热门推荐
kkx1988的博客
04-23 3万+
数据脱敏和数据加密是两种截然不同的技术,适用于不同目的。 脱敏技术主要是为了兼顾数据安全与数据使用,采用的是专业的数据脱敏算法;而加密则是通过对数据进行编码来保护数据,检索原始值的唯一方法是使用解密密钥解码数据。 脱敏数据仍然便于使用,但加密数据不是。 加密的主要优点在于它的可逆性,但是解密密钥存储位置、如何存储以及确定谁具有访问权限等工作都会给整个安全工作增加额外的成本、故障点,加剧复杂性...
敏感信息脱敏
迷路人的博客
12-14 3571
1.在很多评论列表中都可以看到,对于评论者的手机号或者昵称等等都是用了*进行部分遮挡,这样就可以看不出来是谁了。 2. 展示脱敏的类 DesensitizationUtil :(不用担心要脱敏的字符串的长度太小) package com.imooc.utils; import sun.applet.Main; /** * 通用脱敏工具类 * 可用于: * 用户...
移动应用数据安全问题列举
securitypaper的博客
07-03 741
隐私政策是移动应用运营者告知用户个人信息收集规则的主要途径。移动应用应在用户首次注册、登录移动应用时以弹窗、超链接等明显方式提醒用户阅读隐私政策,明示告知用户收集使用个人信息的目的、方式、范围,使用户充分了解其个人信息如何被收集、存储、使用、传输、共享、销毁。部分移动应用存在用户首次登录时要求用户默示“打勾”同意隐私政策(即要求用户主动打勾同意),导致隐私政策难以起到告知和真正具有法律效力的“同意”作用,存在违规收集个人数据行为。除了前面的默认打勾的违规行为,还包括如:通过“登录/注册即表示同意隐私政策”
web常见安全漏洞描述及解决方案
赵忠洋的博客
09-01 892
通过前端调用三方接口获得数据,后续发给服务端。通过访问发送验证码接口,手机号字段尾随无意义字符串例如 空格、加号等 进行频繁短信发送。使用获取到的真实TOKEN,通过获取订单详情接口枚举订单号拿到用户订单信息。数据脱敏返回前端,攻击者可通过结合中间人攻击的方式获取脱敏的敏感信息。通过提交错误信息导致服务端接口报错,从而获取服务端程序调用栈信息。通过获取到的TOKEN中的用户ID与实际操作的用户ID做比对。对验证码的失效时间和尝试失败的次数进行相关的限制。通过访问发送验证码接口,进行频繁短信发送。...
业务逻辑漏洞探索之敏感信息泄露
dfdhxb995397的博客
03-21 491
小张通过某网购买了一张从北京到广州的飞机票,没多久竟收到一条诈骗短信,短信内容中有他的航班信息、机场名称、航班号等,所有信息全部属实。小张认为,自己的手机号及确切的航班信息只有某网和该航空公司知道,因而推断一定是其中一个机构泄露了自己的个人信息。可事实真如他所想的这样吗? 个人信息泄露的主要途径包括经营者经本人同意收集个人信息,经营者或不法分子故意泄露、出售或者非法向他...
WEB安全测试要点总结
mathlpz126的博客
10-23 2万+
一、大类检查点: 大类 细项 上传功能 绕过文件上传检查功能 上传文件大小和次数限制 注册功能 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录功能
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
afl qemu测试进制
01-12
通过AFL QEMU测试进制,我们可以有效地发现软件程序中的潜在问题,提高程序的安全性和稳定性。同时,由于AFL和QEMU都是开源工具,可以根据需要进行自定义设置和扩展,以满足不同测试需求。总之,AFL QEMU测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海是倒过来的天~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值