Web 应用的安全性测试入门

最新推荐文章于 2024-07-23 20:24:08 发布
最新推荐文章于 2024-07-23 20:24:08 发布
阅读量499 收藏 1
点赞数
分类专栏: 软件测试 接口测试 测试工程师 文章标签: 软件测试 自动化测试 接口测试 性能测试 测试工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52668874/article/details/113359308
版权

            

  介绍  随着越来越多的重要数据都存储在web应用上,以及网络事务数量的增长,适当的基于网络应用程序的安全性测试也变得相当重要。安全性测试是指机密的数据确保其机密性(例如,不是将其暴露给不恰当的不被授权的个人或用户实体)以及用户只能在其被授权的范围进行操作(例如,一个用户不应该能够单方面有权限屏蔽掉网站的某一功能,一个用户不应该能够在某种无心的状态下改变网络应用程序的功能)的这样一个过程。

  一些在安全性测试中运用到的重要的术语  在我们说的更深入之前,了解一些网络应用程序的安全性测试中使用频繁的术语会很有帮助: 

1、什么是“易受攻击性”?  这是网络应用程序的一个软肋。造成这个”软肋”的原因,可能是程序中的bug,一种注入(SQL/脚本代码)或者已存在的病毒。 

2、什么是“URL处理”?  一些网络应用程序通过URL在客户端(浏览器)和服务器端之间进行额外信息的传递。有时在URL中改变信息可能会导致服务器不可预期的结果。

3、什么是“SQL注入”?  是指通过网络应用的用户接口插入SQL指令到服务器所执行的查询中去的过程。 

4、什么是“XSS(跨站式脚本攻击)”?  当一个用户通过Web应用接口插入HTML代码,而这种嵌入其中的代码对于其他用户是可见的,被称做XSS。 

5、什么是“欺骗”?  完全仿造网站或电子邮件的赝品被称为欺骗。

安全性测试方法:为了对Web应用提供一次有效的安全性测试,安全测试人员应当对HTTP协议有很好的认知。对于客户端(浏览器)和服务器端之间如何运用HTTP通信有很好的了解是非常重要的。除此之外,测试人员需了解最基本的SQL注入以及跨站式脚本攻击。如果运气好的话,在Web应用上发现的安全漏洞的数目不会很多。不管怎样,能够对所发现的问题精确具体地描述安全漏洞能提供相当大的帮助。

1. 密码破解:Web应用上的安全测试可由“密码破解”开始。为了登录应用程序的非公开领域,可以通过猜测用户名/密码或者利用一些密码破解工具来达到相同的目的。常用用户名和密码列表与开源密码破解工具一样有可用价值。如果一个web应用不强制要求复杂的密码(例如,包含字母,数字和特殊字符,包含最小字符长度要求),那么这个用户名和密码不用花费很长的时间就可以被破解。  如果用户名和密码被不加密的储存在Cookie文件中,入侵者可以通过不同的方法盗用Cookie文件里面的信息,比如用户名和密码。  

2. HTTP GET方法上的URL操作  测试人员应当检查应用程序是否通过查询字符串传递重要信息,这应当发生在应用程序通过HTTP GET方法在客户端和服务器之间传递信息的时候。信息是通过查询字符串的参数传递的。测试人员可以修改查询字符串的参数值来检查服务器是否接受了传递过来的信息。  通过HTTP GET请求的用户信息传递给服务器进行身份验证或数据提取。攻击者可以操作每一个通过GET请求传递过来的输入变量,以获得所需的信息或进行数据破坏。在这种情况下,任何由应用程序或web服务器产生的不寻常的行为都是攻击者进入应用的大门。  

3. SQL注入:  第二件应该在SQL注入中检查的是,在应用程序的任何一个文本框输入一个单引号应当是非法的。反之,如果测试人员遇到一个数据库错误,表示用户输入插入了一些查询并被应用程序所执行。这样的话,该应用容易受到SQL注入的攻击。  SQL注入攻击是非常危险的,因为攻击者可以从服务器数据库获取一些重要的信息。检查你在Web应用上的SQL注入点,找出你代码库中那些能够直接在数据库上接收用户输入而执行的MySQL查询的代码。  如果用户输入数据被用作查询数据库,攻击者可以注入SQL语句或者伪装SQL语句为用户输入从数据库提取重要信息。即使攻击者成功的摧毁了应用,在浏览器上显示了  SQL查询错误,他们仍可以获取他们所找寻的信息。鉴于这种情况,用户输入的特殊字符应当被适当的处理或者避免。  

4. 跨站式脚本攻击(XSS):  测试人员应当额外的检查对Web应用的跨站式脚本攻击。任何HTML,比如<HTML>或者任何脚本,比如<SCRIPT>,应用程序都不应当接受。不然,该应用很容易受到跨站式脚本的攻击。  攻击者可以利用此方法在被攻击者的浏览器上执行恶意代码或者URL。经此跨站式脚本攻击,攻击者能够利用像JavaScript之类的脚本来盗取用户Cookie以及存储在Cookie中的信息。  很多Web应用从不同页面的一些变量里传递或提取用户信息。  

比如:http://www.examplesite.com/index.php?userid=123&query=xyz  攻击者可以轻松的传递一些恶意输入或者如同查询参数的<脚本代码>,把重要的用户/服务器数据公布在浏览器上。

重要提示:在安全性测试过程中,测试人员应当特别注意不要去修改如下的任何一条:应用程序或服务器的任何配置信息  服务器端处于执行状态的服务  由应用程序管理的现有的用户或用户数据除此之外,应避免在生产环境上做安全性测试。安全性测试的目的是发现Web应用的易受攻击性,这样开发人员能及时地移除这些缺点,从而保护Web应用和数据在非授权范围的安全性。

觉得不错,可以“一键三连”,或者转发、留言

公众号:程序员二黑,专注软件测试资源分享,

主要分享测试基础、接口测试、性能测试、自动化测试、TestOps架构、Jmeter、LoadRunner、Fiddler、MySql、Linux、简历优化、面试技巧以及大型测试项目实战视频资料

感兴趣的可以关注一下

精彩的内容要和朋友分享哦

一夕白马过平川.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web应用安全测试
aojie80的专栏
02-15 7954
缩略语清单 缩略语 全称 CRLF \r\n回车换行 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 MML man-machine language 人机交互语言
web安全性测试
weixin_42364846的博客
10-20 1201
WEB安全性测试 一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。 1.安全体系测试 1)部署与基础结构 网络是否提供了安全的通信 部署拓扑结构是否包括内部的防火墙 部署拓扑结构中是否包括远程应用程序服务器 基础结构安全性需求的限制是什么 目标环境支持怎样的信任级别 ...
web安全测试测试方法有哪些?
最新发布
nhb687096的博客
07-23 499
Web安全是确保Web应用程序安全的重要环节,它旨在发现和修复潜在的安全风险和。本文将介绍一些常见的Web安全测试方法,帮助您了解如何有效地评估Web应用程序的安全性。输入验证是Web安全测试的基础,它涉及对用户输入的数据进行合法性检查。常见的输入验证方法包括:1.长度验证:确保用户输入的长度符合预期范围。2.格式验证:检查用户输入是否符合特定的格式要求,如电子邮件地址、电话号码等。3.黑名单验证:将用户输入与已知的危险字符或模式进行对比,以防止注入、跨站脚本攻击等。
Web安全性测试介绍
wenroudong的博客
07-01 923
安全性测试主要是指利用安全性测试技术,在产品没有正式发布前找到潜在漏洞。找到漏洞后,需要把这些漏洞进行修复,避免这些潜在的漏洞被非法用户发现并利用。像我们测试中找软件产品bug一样,安全漏洞也是很难完全避免的。黑客攻击技术会层出不穷,而无论怎么样,我们所做的web网站一定是需要对用户提供一些服务,会开放一些端口,甚至给用户提供一些输入的界面,而这些方面都有可能成为漏洞的载体。还有一个主要原因是因为...
web应用程序安全性测试_Web应用程序安全性测试漏洞
cuxiong8996的博客
07-05 602
相反,随着Web在本质上日益社会化,它变得越来越不安全。 实际上,Web应用程序安全联盟(WASC)在2009年初估计,所有网站中有87%容易受到攻击(请参阅参考资料 ,以获得更多信息的链接)。 尽管有些公司可以聘请外部安全分析师来测试漏洞,但并不是每个人都有资源花费20,000至40,000美元进行外部安全审核。 相反,组织将依靠自己的开发人员来理解这些威胁,并确保其代码中没有任何此类漏洞。...
web应用安全测试~
qq_39405435的博客
05-26 746
一、手动测试 1、SQL注入 原理:将有恶意的SQL语句作为参数进行输入,使得服务器执行该恶意的SQL命令,从而获得数据库的相关信息或篡改数据库的数据。 原因:开发对输入没有做细致的过滤。 防护:加密、过滤输入、使用自定义的错误提示等。 注入: 1)先输入猜测的表名,如果返回成功, And (Select count(*) from 表名)<>0 说明该表名正确;然后再猜测列名,同理,如果返回成功,说明该列名正确。 And (Select count(列名) from 表名)<>0
Web应用程序安全性测试指南
qqqqqkmbnjjhb的专栏
05-19 4822
由于存储在Web应用程序中的数据量巨大,并且Web上的事务数量增加,因此,对Web应用程序进行适当的安全测试正变得越来越重要。在本文中,我们将详细了解网站安全测试中使用的关键术语及其测试...
web测试入门解析ppt课件.ppt
11-13
Web应用系统测试的内容包括功能测试性能测试安全性测试和配置与兼容性测试等。 1.功能测试 功能测试Web应用系统测试的重要组成部分,主要检查Web应用系统是否按照需求规格说明书的要求运行。功能测试的内容...
WEB渗透测试入门.rar
03-07
在网络安全领域,Web渗透测试是一种评估Web应用程序安全性的重要方法。它涉及到模拟恶意黑客的行为,以发现并修复潜在的安全漏洞。对于初学者来说,掌握Web渗透测试的基本概念和技术是至关重要的。 一、Web渗透测试...
awesome-web-hacking:Web应用程序安全性列表
02-13
该列表适用于希望了解Web应用程序安全性但没有起点的任何人。 您可以发送“拉取请求”添加更多信息,以提供帮助。 如果您不希望进行@infoslack可以通过@infoslack发送给我 目录 图书 Web应用程序黑客手册:发现和...
web安全性测试总结
11-28
sql注入:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串 示例:在查询中输入字符串 ' or 1=1 --
Web应用程序测试报告
11-26
Web 应用程序报告|该报告包含有关 web 应用程序的重要安全信息|该报告由 IBM Security AppScan Standard 创建
clojurice:Clojure中用于全栈Web应用程序的自觉入门应用程序
01-31
它的设计目标是提供一种简洁、高效和可并行的语言,强调安全性和并发性。Clojure的语法深受Lisp家族的影响,使用括号表示表达式。 **ClojureScript** ClojureScript是Clojure的一个分支,专门用于编写JavaScript的...
后端开发入门与实战教程:从0到1打造高效Web应用.zip
04-04
这份"后端开发入门与实战教程:从0到1打造高效Web应用"的资源包,将引领初学者步入这一领域的殿堂,通过系统的学习和实践,使你能够构建出高效且稳定的Web应用。 首先,后端开发的基础知识主要包括编程语言、框架和...
安全测试--web安全测试目的
世上无难事只要肯放弃
10-03 1988
WEB程序在面对主动地误用或滥用时表现如何
Web应用安全测试扫盲
所寫即所思|一个阿里质量人对测试的所感所悟。
10-07 1443
简单理解安全测试就是一个测试机密数据是否安全的过程(即验证数据不会被没有权限的个人访问到)。关键术语什么是“漏洞”?就是Web应用程序中的一个缺陷。这种“缺陷”的原因可能是由于应用程序中的错误、注入(SQL/脚本代码)或病毒的存在。什么是“URL操作”?Web应用会通过URL在客户端(浏览器)和服务器之间传递信息。更改URL中的一些信息有时可能会导致服务器的意外行为,这被称为URL操作。
Web应用系统测试:从入门到精通
3. **安全性测试**:检测系统是否存在漏洞,防止未经授权的访问、数据泄露或攻击。 4. **配置和兼容性测试**:在多种操作系统、浏览器和设备上运行测试,确保系统的兼容性。 5. **可用性测试**:关注用户界面的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值