实训报告2:软件安全缺陷查找实训报告

最新推荐文章于 2024-09-15 20:34:10 发布
最新推荐文章于 2024-09-15 20:34:10 发布
阅读量855 收藏 6
点赞数 6
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/md444444/article/details/139599735
版权

软件安全缺陷测试报告

1. 缺陷标题:SQL注入漏洞

测试平台:Windows 10, Google Chrome 91.0

测试步骤

  1. 打开The Internet主页。
  2. 点击“Login”链接,进入登录页面。
  3. 在用户名输入框中输入 admin' OR '1'='1,在密码输入框中输入任意值。
  4. 点击“Login”按钮。

期望结果:系统应验证输入的用户名和密码,防止恶意注入,提示用户名或密码错误。

实际结果:成功登录,显示管理员页面。

分析:可能是由于用户输入未进行有效的过滤和转义,直接嵌入到SQL查询中导致。

2. 缺陷标题:跨站脚本攻击(XSS)漏洞

测试平台:macOS 11.2, Safari 14.0

测试步骤

  1. 打开The Internet主页。
  2. 点击“Contact Us”链接,进入联系页面。
  3. 在留言输入框中输入 <script>alert('XSS');</script>
  4. 点击“Submit”按钮。

期望结果:系统应过滤输入内容,防止脚本执行。

实际结果:提交后页面弹出一个包含“XSS”的警告框。

分析:可能是由于用户输入未进行有效的过滤和转义,直接在页面中渲染导致。

3. 缺陷标题:跨站请求伪造(CSRF)漏洞

测试平台:Windows 10, Firefox 89.0

测试步骤

  1. 打开The Internet主页。

  2. 登录用户账户。

  3. 在另一标签页中打开一个包含以下HTML代码的页面并加载:

    <form action="https://the-internet.herokuapp.com/secure_area" method="POST">
    <input type="hidden" name="username" value="attacker">
    <input type="hidden" name="password" value="password">
    <input type="submit">
</form>
<script>
    document.forms[0].submit();
</script>

  4. 提交表单。

期望结果:系统应要求用户重新验证身份或包含CSRF令牌以防止请求伪造。

实际结果:表单提交成功,用户身份被替换。

分析:可能是由于系统未正确实现CSRF保护机制,缺少验证请求来源的有效性。

4. 缺陷标题:不安全的直接对象引用(IDOR)

测试平台:Windows 10, Google Chrome 91.0

测试步骤

  1. 登录用户账户。
  2. 打开“个人资料”页面,记录当前用户ID,例如https://the-internet.herokuapp.com/user/123.
  3. 修改URL中的用户ID为其他用户ID,例如https://the-internet.herokuapp.com/user/124

期望结果:系统应验证用户身份,禁止访问其他用户的资料。

实际结果:成功访问其他用户的个人资料页面。

分析:可能是由于系统未正确验证用户的访问权限,直接使用用户提供的ID访问数据。

5. 缺陷标题:敏感数据泄露

测试平台:Windows 10, Google Chrome 91.0

测试步骤

  1. 打开The Internet主页。
  2. 查看页面源代码或在开发者工具中查看网络请求。
  3. 找到包含敏感信息的请求或响应数据。

期望结果:敏感信息应被适当加密或隐藏。

实际结果:在页面源代码或网络请求中发现明文传输的用户名和密码。

分析:可能是由于系统未对敏感数据进行加密传输,直接以明文形式传递。

喜欢吃饺子QAQ
关注
建模实训报告总结_实验报告总结(15篇)
weixin_39946274的博客
12-20 6970
《实验报告总结(15篇)》由会员分享,可在线阅读,更多相关《实验报告总结(15篇)(16页珍藏版)》请在人人文库网上搜索。1、实验报告总结(15篇) 实验报告总结 第1篇:课程学习和实验的操作诚然是一门专业课必须要去做的,能够使很多专业知识以及专业技能上桌面GIS的功能与菜单操作以及对地形分析等等的实验操作的提升,同时又是一门辩思课,给了我很多思,给了我莫大的空间。同时,设计专题地图和数据处理让我...
python爬虫实训总结报告_python爬虫简单总结(一)
weixin_39940688的博客
11-26 4030
爬虫?什么时爬虫?我个人理解的爬虫就是:爬虫是一个模拟浏览器进行HTTP 请求的过程,快速获取我们想要的数据。HTTPHTTP协议请求本身是非常简单的,主要是,由客户端主动发送请求,服务器接收请求处理后返回响应结果,同时HTTP,是一种无状态,无连接,的超文本传输协议,协议本身不记录客户端的历史请求记录。HTTP 请求由3部分组成,分别是请求行、请求首部、请求体,首部和请求体是可选的,并不是每个请...
实训报告2:软件安全缺陷查找
记录
05-29 278
应用程序应拒绝上传不安全的文件类型,并提示用户上传失败。: 应用程序应返回通用错误信息,如“用户名或密码错误”。: 应用程序应拒绝弱密码,并提示用户设置更复杂的密码。: 应用程序返回具体错误信息,如“用户名不存在”。: 错误信息应简洁,不泄露服务器或应用的详细信息。: 应用程序接受并成功上传了带有恶意脚本的文件。: 应用程序应拒绝非法输入,并返回错误消息。: 错误页面显示了详细的错误日志和堆栈信息。: 应用程序允许登录,并显示用户数据。: 应用程序允许使用弱密码注册。
实训报告1:软件界面缺陷及功能缺陷查找
记录
05-29 489
页面加载时间过长,用户需要等待超过 10 秒才能看到完整的商品信息。:Windows10,Microsoft Edge 浏览器。:Windows10,Microsoft Edge 浏览器。:账户余额的字体大小明显小于页面上的其他文本。:“保存”按钮的颜色与其他按钮不一致。:在主页的搜索框中输入关键词进行搜索。:点击“搜索”按钮后,没有任何反应。:打开应用并导航到账户详情页面。:所有文本应具有一致的字体大小。:点击链接后,页面没有任何反应。:点击主页的“更多信息”链接。:所有按钮应具有一致的颜色。
实训报告1:软件界面缺陷及功能缺陷查找实训报告
md444444的博客
06-11 724
这是一个用于Web应用程序测试的示例网站,包含多个测试场景。以下是针对该网站进行界面缺陷和功能缺陷的测试报告示例。
软件缺陷缺陷报告
weixin_48858223的博客
04-05 1064
软件缺陷定义 缺陷就是问题,最终表现为所需要的的功能没有完全实现,没有满足用户的需求 具体包含: 未达到需求文档功能 出现需求文档中指明不会出现的错误 功能超出需求规格说明说的范围 未达到需求文档虽然没有指明,但应该达到的目标 测试人员或用户认为软件难以理解,不易使用,运行速度慢或最终用户认为不好 表现形式 ...
计算机安全防范实训,个人计算机安全与防实训实验报告_印刷版0909.doc
weixin_42513944的博客
07-20 287
个人计算机安全与防实训实验报告_印刷版0909实训一、Windows操作系统安全设置一、实验目的:掌握计算机系统进入、退出相关安全设置操作,以及查找系统漏洞、关闭漏洞,对操作系统通过补丁升级的操作方法。要求学生了解Windows xp安全设置基本概念,掌握安全设置的多种方法。二、基本概念:一些计算机用户简单的认为只要经常查杀病毒就可以确保计算机的安全。其实不然,计算机安全不只是查杀病毒,它还包括增...
软件工程实训大作业报告(旅游信息管理系统|小组合作完成)
qq_60906390的博客
07-02 2012
作者声明:本博客仅用来记录我大三下和小组成员用3天时间完成的软件工程导论大作业,仅用来学习交流使用,如需系统源码和报告word可后台私信
web安全攻防实训笔记
weixin_65379378的博客
04-07 1188
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
C语言实训报告--通讯录管理系统2.doc
05-16
《C语言实训报告--通讯录管理系统》是一份详细介绍如何使用C语言开发通讯录管理系统的实践报告。这份报告涵盖了从问题定义、系统设计、系统实现、测试与调试、系统维护到归纳总结的完整过程,旨在帮助读者理解C语言...
AI在医学领域:医学AI的安全与隐私全面概述
声纹感知 洞察芯声
09-12 1381
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1143
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
无限边界:现代整合安全如何保护云
最新发布
网络研究观
09-15 672
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 514
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 431
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1757
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
消防指挥中心控制台:守护安全的关键枢纽
JiaDeLi_console的博客
09-11 479
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
稀土阻燃剂:电子设备的安全守护者
Kingcela1的博客
09-11 657
稀土阻燃剂在电子设备中的应用主要是通过提升材料的阻燃性能、热稳定性和环保安全性,来满足现代电子产品对高性能和安全性的需求。随着技术的不断进步,稀土阻燃剂在电子设备领域的应用前景将会更加广阔。
"软件实训报告心得:五篇范文分享
软件实训报告心得范文中,我学到了很多关于软件开发和实践的知识。在实训的过程中,我深刻体会到了团队合作的重要性,了解到了软件开发的整个流程,并学会了如何解决实际问题。在这五篇报告中,我将分享我在软件实...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值