初学安全测试

最新推荐文章于 2024-07-12 23:58:53 发布
最新推荐文章于 2024-07-12 23:58:53 发布
阅读量733 收藏
点赞数
分类专栏: 测试 文章标签: 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itxib/article/details/125447586
版权
本文介绍了安全测试的基础知识,包括操作系统的安全检查、网络通信的安全考量和Web应用的安全测试。重点讨论了权限认证、session与cookie的管理、防止SQL注入和XSS攻击、以及文件上传与下载的安全策略。
摘要由CSDN通过智能技术生成

1、安全测试分为几个层次???

1.1 针对操作系统层面

1.1.1 不应该开放的端口开放

1.1.2 远程连接 443

1.1.3 系统管理员密码过于简单

1.1.4 补丁没有及时更新/修复,利用补丁进行攻击

1.2 针对网络通信层面

1.2.1 网络传输协议,应用层、传输层、网络层、链路层、实体层

1.2.2 任何的输入输出都会存在问题

1.3 应用本身

2、Web安全测试

2.1 权限和认证

2.1.1 权限:用户 角色 组 权限

2.1.2 认证:在交互过程中怎么去确保权限得到落实的一个过程

2.2 session和cookie

2.2.1 不要在cookie中携带敏感数据

  • 用户名和密码不要在cookie中保存,cookie会将数据发往客户端
  • 系统本地缓存文件/临时文件夹中可以获取到cookie数据,所以尽量不要将敏感数据放到cookie中

2.2.2 敏感数据一定要加密

  • cookie在传输数据一定要加密,前端加密本质都是无效的

2.2.3 session的过期和存续机制是否合理

2.3 SQL注入

2.4 xss跨站脚本攻击

2.4.1 持久型XSS攻击

  • 一般钓鱼网站
  • 站点存在安全漏洞被攻击者利用

2.4.2 非持久型XSS攻击

  • 修改URL或者其它临时性的措施让用户访问,一次有效

2.5 文件上传

  • 上传文件的类型要做检测
  • 不能仅仅检测后缀名,要对内容检测(Windows文件执行和后缀名有关系,Linux只对其中的内容有关系)
  • 上传文件的大小(文件过大造成带宽、内存进行损耗;内存崩溃、服务器文件系统不能承载,服务器系统错误导致服务器宕机)
  • 上传文件的数量
  • 上传文件后要重命名

2.6 文件下载

  • 下载文件要做权限控制(非必要)
  • 下载文件不能通过静态资源方式访问(用户可能会通过遍历静态资源)

itxib
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
火绒软件测试初学者,火绒初步评测-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com...
weixin_34342589的博客
07-26 1579
求大神们轻喷……注:本文测试主要依据3.x版本的病毒库,但是4.x环境依然有效0x0调试了好几个晚上,在茫茫汇编代码里,在无穷无尽的各种结构体里,太容易绕晕了,一个结构体套一个结构体,一个指针一个函数都容易乱指地址,看着看着就晕乎了……写本文有些忐忑,但是处于对火绒的一个评价的态度,还是希望火绒今后会更加强大一些,同时,这里的测试不够全面,仅仅测试了几个小的方面。0x1简介前几天发现火绒已经升级到...
WEB安全测试资料汇总.rar
02-13
在IT行业中,Web安全测试是确保网站和应用程序免受恶意攻击和数据泄露的关键环节。"WEB安全测试资料汇总.rar"这个压缩包包含了多种资源,帮助我们深入理解和实践Web安全测试的相关知识。以下是对这些资源的详细解读...
【Web】关于Session过期/失效的理解
日薪灬越亿的博客
07-03 6323
一直好奇关于Session的过期,一种说法是关闭浏览器即Session失效,另一种说法是可以设置Session的过期时间,时间到了自动过期。 这两种说法到底是怎么回事?Session过期跟Cookie过期又有什么关系? 网上搜了几篇相关文章: http://www.cnblogs.com/Vae1990Silence/p/4630392.html http://blog.csdn.net/quiet_girl/article/details/50580095 https://www.cisco
文件上传漏洞(有点乱)
woo233的博客
08-05 918
因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行。3)上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向shell.php.rar.ara这种文件,因为重命名而无法成功实施攻击。删除/禁用JS、修改MIME、等价扩展名、大小写、htaccess、双写、空格、点 ::$DATA、%00截断、 0x00截断、图片马、条件竞争等。2)对上传的文件类型进行白名单校验,只允许上传可靠类型。..
Session过期策略研究
weixin_34405925的博客
04-04 360
首先说一点新手认识中常见的误区:关闭浏览器session就过期了。这种说话是完全错误的, session是否过期与客户端如何操作没什么必然关系,他只与服务器如何设置有关。 以下观点以以PHP语言举例,使用的是chrome浏览器[48.0.2564.116 (正式版本) m (32 位)](△注意这点,因为Firefox浏览器关闭后PHPS...
初学者如何入门安全测试
苏安の博客
12-25 835
介绍安全测试的定义,还有两个国际应用安全组织。我们可以以两个国际应用安全组织发布的安全漏洞为学习入线,展开安全测试学习。
汽车安全测试学习
weixin_45794666的博客
03-14 3411
汽车安全测试 CAN controller area network - 汽车所有/某些 部件之间进行通信的中枢 CAN流量是通过UDP而不是TCP进行传输的 OBD 要访问汽车的CAN总线,您必须能够访问驾驶室诊断端口。虽然当前的诊断标准和端口有数百种之多,但如今OBD-II已经成为了事实标准,几乎所有汽车都使用这种诊断端口。实际上,汽车修理工诊断汽车故障时,使用的就是它。通过OBD可以直接访问CAN,并且是最直接的方式。另外,OBD-II也很容易找到:通常位于前排乘客或驾驶员座位附近的某个地方,而且不需
安全测试常用几个工具
热门推荐
huangmr的专栏
09-06 5万+
下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器:Nmap Nmap是"Network Mapper"的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划,以及监视主机或服务的正常运行时间。Nmap是一种使用原始IP数据包的工具,以非常创新的方
一起学安全测试——自己搭建安全测试环境(DVWA)
灰蓝
03-28 1万+
想学习安全测试,但没有环境,又不能去网上乱搞,是不是很头大,今天博主就教你搭建一个自己的安全测试环境——DVWA DVWA 全名叫Damn Vulnerable Web Application,是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用,有各种各样的漏洞,专门让你用来联系安全测试的。简直太适合初学者了有没有。下载那么首先我们需要搭建P
推荐几个比较实用的安全测试工具
OKCRoss的博客
03-13 1219
软件的安全是开发人员、测试人员、企业以及用户共同关心的话题,尤其是软件产品的使用者,因为系统中承载着用户的个人信息、人际互动、管理权限等各类隐私海量关键数据。因此软件安全测试必不可少,在测试过程中安全测试工具的选择也尤为重要。适用于Windows和Linux的网络协议分析工具,也是一个很出名的数据包分析工具,可以检查网络流量,是观察TCP/IP异常流量的很好的工具。目前比较流行的安全渗透测试平台,包含了最新的安全测试工具,允许用户从CD或者U盘启动,通过U盘来实施安全渗透测试
如何入门渗透测试
qq_28205153的博客
04-03 5万+
转眼间,从大三开始学安全,到现在也有五年了,也算是对渗透测试有一定理解,公众号准备出一些入门教程,以实操为主,希望可以帮助到想入门渗透测试的小白。如果觉得有用,可以在文章后面支持一下我,作为我写下去的动力。 1. 什么是渗透测试 渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。 一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。 一定要注意的是,在.
安全测试基础学习资料
03-06
在这个“安全测试基础学习资料”压缩包中,我们能够找到一系列关于安全测试的基本概念、方法和实践的资源,这对于初学者或者希望深入理解安全测试的人来说是非常宝贵的。 首先,安全测试的目标是发现并修复可能导致...
安全测试资料
08-29
非常好的安全测试资料,适用于初学者,希望大家在安全测试的路上越走越好
安卓系统app安全测试.zip
09-11
【安卓系统app安全测试】 Android应用安全测试是保障移动设备上应用程序安全性的重要环节。这个压缩包文件"安卓系统app安全测试.zip"包含了针对Android系统的安全测试框架——Drozer的相关资源,以及使用教程,旨在...
5Drozer安全测试框架详解.docx Drozer安全测试框架是一个用于安卓应用程序安全测试的工具
04-10
### Drozer安全测试框架详解 #### 一、Drozer框架简介 Drozer安全测试框架是一款专为安卓应用程序设计的安全测试工具。该框架能够帮助安全研究人员和开发人员有效地识别和修复应用程序中存在的潜在安全漏洞。它...
Postman 中的 API 安全性测试:最佳实践与技巧
2402_85762143的博客
07-12 682
通过本文的介绍,你应该对如何在 Postman 中进行 API 的安全性测试有了深入的了解。记住,安全性测试是一个持续的过程,需要定期进行以应对不断变化的安全威胁。使用 Postman 提供的工具和技巧,你可以为你的 API 构建一个强大的安全防线。
005 - 马科维茨投资组合理论实现
08-10
python基于tushare实现马科维茨投资组合理论实现
基于ASP的学生信息档案管理系统毕业论文及源码.rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT).zip
最新发布
08-10
[毕业设计]VB与Access共筑文档安全管理与分享平台(源代码+论文+答辩PPT)
AppScan安全测试入门指南
"这份资料是关于安全测试的,特别适合初学者,旨在帮助他们在安全测试领域建立基础。资料中详述了使用AppScan进行安全测试的典型工作流程,并通过一个具体的实例——‘欧索在线测评平台’,提供了详细的步骤指导。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值