如何进行Web应用的安全测试和输入校验

最新推荐文章于 2023-02-27 14:37:19 发布
最新推荐文章于 2023-02-27 14:37:19 发布
阅读量4.7k 收藏 22
点赞数
分类专栏: Web Security 文章标签: web 测试 javascript 数据库 sql url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinhuiyu/article/details/4713819
版权

在Web应用占主流的今天,主流的黑客也都把攻击的目标转向了Web应用,SQL Injection, XSS... 各种攻击技术层出不穷,但是苍蝇不叮无缝的蛋,这么多种攻击技术无非都是把有毒的东西送到了蛋的内部。所以说只要输入校验做的好就可以阻止90%-95%的攻击。如何做输入校验才能尽可能的弥补所有的缝呢?下面这几个注意事项或许可以帮你一些

 

1. 找到Web应用所有的输入点,找到所有的能接受用户输入的地方,漏掉输入点也就漏掉了可能存在的缝。

2. 过滤每一个输入点,为每个输入点设定相应的校验规则和边界。

3. 不要忘记校验哪些隐藏域,cookie和url参数。

4. 验证从数据库里面得到的数据,这个是最容易忽视的地方,不要相信来自数据库里面的数据就是合法的数据。

5. 你是如何做输入校验的? javascript?如果只是用javascript做客户端校验, 风险还是很大的,一定要确保加上服务端的校验,否则如果客户端禁用了javascript或者客户端代码被人工修改,非法数据还是会进入系统内部的。

6. 隐藏异常信息,再周全的校验也不可能覆盖所有的case,如果非法数据造成了系统的异常,不要将详细的异常信息暴露给客户端,这些异常信息有可能成为系统的攻击入口。

 

在做输入校验的时候,从“什么样的输入才是合法的”入手会降低验证失效的风险,应该只为每个输入点的输入内容制定一个有限的,刚好够用的合法范围,除此之外的所有内容都当做是非法的。而从“什么样的输入是不合法的”入手则会增加验证失效的可能,因为你不可能穷举非法的输入。

jinhuiyu
关注
  • 0
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
WEB安全:浅谈输入验证
chilabi1422的博客
06-22 1171
近期负责一个主站系统的Code Review,过程中排查了一些由于输入验证引起的安全漏洞,但遗憾的是遗漏了一个分支功能点,导致线上用户昵称可能存在被篡改的风险。打算总结分享一些安全方面的经常,所以有了这篇博客。 假设所有的用户输入都是攻击性的,所有的用户都具有恶意 如果理解这句话...
安全性测试输入校验规则
执笏少埋 的专栏
03-12 1911
目录目录 等级过滤规则 低级过滤的字符 中级过滤的字符 高级过滤的字符 等级过滤规则平台对所有用户提交内容进行输入验证,这些提交内容包括URL、查询关键字、post数据。平台第一步会校验URL,通过后会继续对post提交的所有数据进行校验校验的字符(校验时会忽略大小写,系统编码为GBK)有:Javascript:、--、空白字符and空白字符、/**/and空白字符、/**/and/**/、空
安全编程-安全输入验证
热门推荐
王浩的技术博客
10-17 1万+
在几乎所有安全的程序中,你的第一道防线就是检查你所接收到的每一条数据。如果你能不让恶意的数据进入你的程序,或者至少不在程序中处理它,你的程序在面对攻击时将更加健壮。在不得不接收输入,但是又不能相信输入的时候,最好的方法就是充分检测输入,并且确认输入的正确性,应当将输入限制在某些可接受的值范围内。   输入验证程序可分为2个主要部分:语法检查和语义检查。 语法检查主要检测输入的格式是否正确,其
Web页面输入测试要点
weixin_44828639的博客
03-25 2455
为空 字符 长度限制 格式 各系统功能关联 攻击测试(html、js字符) 语言(简中、繁中、英) 具体如何测试呢?? 一、页面检查(符合原型设计) 二、功能实现 【一】对输入进行测试 1 正常输入存在的内容,查看搜索结果展示的数据是否完整 2 正常输入不存在的内容,查看搜索返回的结果 3 输入为空 4 长度超长输入 5 输入空格,是否有忽略空格的功能,忽略前置空格和忽略后置空格,但是不能忽略...
WEB应用安全之输入验证
RayChiu757374816的博客
01-09 3652
WEB2.0的普及,丰富了各类WEB产品。WEB交互能力的增强,也滋生出种类繁多的安全威胁,用户输入便成了万恶之源,不仅威胁用户信息安全,也给服务器、操作系统,甚至整个局域网带来灾难,因此,验证用户输入WEB应用必不可少的安全防范举措。 1 输入为何需要验证 输入验证一般基于两个方面的原因:一是为了保证业务功能的合理性,二是为了保证用户数据、应用程序及内部系统和网络的安全。 1
安全测试checklist-输入校验
天道酬勤
05-06 598
输入校验
Web应用进行XSS漏洞测试
03-03
WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
Web应用安全:XSS盗取cookiepayload.pptx
06-18
在实际操作中,攻击者可能使用工具如Pikachu(一个用于安全测试Web应用平台)来模拟攻击过程: 1. 攻击者在Pikachu上构造XSS注入,将恶意脚本发送到网站。 2. 管理员在不知情的情况下访问被注入的页面,触发恶意...
WEB安全测试大纲
08-10
WEB安全测试大纲】主要关注的是确保Web应用程序的安全性,防止各类攻击,保护用户数据和系统资源。以下是对大纲中各个知识点的详细说明: 1. 输入校验:这是防止恶意输入的第一道防线,包括长度校验和特殊字符...
测试用例的常规方法和web页面常规测试点.pdf
11-24
测试用例的常规方法和web页面常规测试点 本文档主要介绍了写测试用例的常规方法和web页面常规测试点,涵盖了等价类划分法、边界值分析法和错误推断法等测试方法。下面是对这些测试方法的详细解释: 一、等价类...
网络安全学习-常见web漏洞的渗xxx透以及防护方法
最新发布
Python栈
02-27 999
漏洞描述 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻XX击方式,它可以在用户毫不知情的情况 下,以用户的名义伪造请求发送给被攻XX击站点,从而在未授权的情况下进行权限保护内的操作,如修改密码,转账 等。1 短信炸弹 漏洞描述 短信轰炸攻XX击是常见的一种攻XX击,攻XX击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的 获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏 洞。
(六)安全测试基础:软件安全常见问题及验证方法
gzytester的博客
03-11 1418
常见安全问题整理 SQL注入 跨站脚本(XSS) 信息泄露 跨站请求伪造(CSRF) 文件任意上传 越权操作 失效的身份认证和会话管理 提交请求重复 未验证的重定向和转发 网页脚本错误 SQL注入 SQL 注入又称为 SQL Injection,又会简写为 SQLi。 那什么是 SQL 注入? SQL 注入通常出现在网站的页面中有提交表单之处,而这些表单的提交会涉及到数据库的查询等一些操作,此时攻击者使用 SQL 的一些命令上的技巧来获取到敏感的数据,甚至是获取到 we..
异常测试测试
狂飙兔的博客
10-13 6707
异常测试测试点 1.文件丢失测试 强行删除被测软件的一些文件,测试被测系统的提示是否准确以及其后的相关补救提示或操作; 2.服务器资源测试 通过人为手段,增加软件数据库服务器、web服务器或者中间件服务器等相关服务器的硬件资源,如:cpu、内存、硬盘等的负载,测试被测系统的反应和其后的补救提示或操作; 3.断电测试测试期间,对部分或者所有相关软件测试机器进行断电测试测试软件的恢
web测试输入安全测试1
Mk1128的博客
11-11 2783
一、sql注入 1.将sql命令插入web表单或请求参数的查询字符串里面,提交给服务器,从而让服务器执行编写恶意的sql命令的行为,叫sql注入。 2.原因:web系统生成sql语句的时候,采用拼接字符串的方式,并且没有对要组装成sql语句的参数进行检验和过滤。 3.避免与预防:在开发web应用时,尽量避免使用拼接字符串的方式来生成sql语句,特别注意检查含有拼接字符串类型的参数的sql语句...
输入输出安全性检测
hyqsong的专栏
07-18 1200
一个程序要保证它的健壮性,控制出入的安全性是十分重要的一个
安全测试-异常处理
天道酬勤
05-06 175
安全测试
异常测试场景
yuubeka的博客
05-10 4390
最近在公司听了一场异常测试的培训,感觉不错,记下笔记。 什么是异常测试? 异常测试就是检测被测对象对异常情况(异常输入、异常操作、异常场景)的处理(能否正常处理,而不是出现错误) 为什么要做异常测试? 出现异常后,希望系统的表现符合我们的预期。异常测试可以保障系统的可靠性和稳定性。 如果不做异常测试会发生什么: 业务操作异常 服务崩溃 。。。 异常场景分类 业务操作异常(幂等、并发、回退、取消) 指基于用户使用场景设计的异常,比如重复购买、重复支付(幂等);大批量用户同时并发购买;超时未支付;支付失败
对于一个输入框要做哪些安全性检测(腾讯一面题目)
chumei3401的博客
04-12 1624
一、前端事件验证 推荐使用focus事件、blur事件、keyup延时事件(不必每次keyup都做,也不必keyup后立刻做)、表单提交前check事件这4个验证事件。 ‍‍Focus事件:输入触发focus事件,提示用户正确的输入; Blur事件:单个输入完成后触发blur事件,验证用...
Web安全威胁与防护:测试与修复策略
防范措施包括使用低权限账户运行应用程序,升级到修复了已知漏洞的组件版本,过滤或禁用危险函数,限制用户对eval等函数参数的访问,以及对输入数据进行严格校验和转义。 SlowHTTP DOS(慢速拒绝服务)漏洞利用HTTP...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值