本文详细探讨了多种安全测试类型,包括应用程序级别测试和基础设施测试。主要关注点是SQL注入、认证旁路、操作系统命令执行、传输层保护不足等问题。通过实例分析,揭示了如SQL盲注、不充分的账户封锁、会话定置和跨站请求伪造等风险,并提出了相应的安全建议,旨在提高Web应用程序的安全性。
测试类型:应用程序级别测试,基础结构测试
威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置
1.sql盲注;
风险:可能会查看、修改或删除数据库条目和表;
原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击;
威胁分类:sql盲注
测试类型:应用程序级别测试
2.使用sql注入的认证旁路
风险:可能会绕开web应用程序的认证机制
原因:未对用户输入正确执行危险字符清理;
威胁风险:认证不充分
测试类型:应用程序级别测试
3.通过bash进行远程命令执行(也称为shellshock,bashdoor)
风险:可能会在web服务器上运行远程命令,这意味着完全破坏服务器及其内容;
原因:未安装第三方产品的最新补丁或最新修订程序;
威胁风险:操作系统命令
测试类型:基础结构测试
4.已解密的登录请求
风险:可能会窃取如用户名和密码等未经加密及发送了的用户登录信息;
原因:如用户名、密码和信用卡号之类的敏感输入字段未经加密进行了传递;
建议:发送敏感信息时,始终使用ssl和post参数
威胁分类:传输层保护不足
测试类型:应用级别测试
5.不充分的账户封锁
风险&
威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置
1.sql盲注;
风险:可能会查看、修改或删除数据库条目和表;
原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击;
威胁分类:sql盲注
测试类型:应用程序级别测试
2.使用sql注入的认证旁路
风险:可能会绕开web应用程序的认证机制
原因:未对用户输入正确执行危险字符清理;
威胁风险:认证不充分
测试类型:应用程序级别测试
3.通过bash进行远程命令执行(也称为shellshock,bashdoor)
风险:可能会在web服务器上运行远程命令,这意味着完全破坏服务器及其内容;
原因:未安装第三方产品的最新补丁或最新修订程序;
威胁风险:操作系统命令
测试类型:基础结构测试
4.已解密的登录请求
风险:可能会窃取如用户名和密码等未经加密及发送了的用户登录信息;
原因:如用户名、密码和信用卡号之类的敏感输入字段未经加密进行了传递;
建议:发送敏感信息时,始终使用ssl和post参数
威胁分类:传输层保护不足
测试类型:应用级别测试
5.不充分的账户封锁
风险&
最低0.47元/天 解锁文章
扫一扫
2533
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
