web网站的安全测试

最新推荐文章于 2022-11-29 14:05:28 发布
最新推荐文章于 2022-11-29 14:05:28 发布
阅读量291 收藏 1
点赞数
分类专栏: html JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31968791/article/details/105663060
版权

公司的网站开始有了更多的人点击。
所以,老板最近找了一家安全渗透的公司帮忙找找茬。
他们测试的点,主要集合如下:
在这里插入图片描述
在这里插入图片描述
最后在我的激励端系统中被发现了一个低危漏洞。

点击挟持,这个问题说大肯定不大的,说小,还有可能不太小,万一我们的系统非常多人使用,有一些黑客要误导用户获取用户信息,那么就是赤果果的欺骗了。

解决的方式非常简单,就是“修改web服务器配置,添加X-frame-options响应头。”

参数主要有三个,以下:
X-Frame-Options三个参数:

1、DENY
表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN
表示该页面可以在相同域名页面的frame中展示。

3、ALLOW-FROM uri
表示该页面可以在指定来源的frame中展示。

在html里边也可以设置一下,就是添加一个meta属性的http-equiv ,不过这个设置对于防范基本不起作用。

诸葛韩信
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个学校的网站安全性测试
Aspstudy与你一起学习ASP ......
01-11 3442
本文作者:angel文章性质:原创发布日期:2004-04-02 前言   我自从在学校维护学生会网站以后,就有了不小的权限,我只要上传一个“海阳顶端网ASP木马”就可以任意修改任何web页面了,因为学校里所有的站点都放在http://www.nothing.com/里面,不过我可不敢这样做,也不会这样做。最近学习ASP挺上瘾,就看看学校自己写的ASP程序有什么隐患吧。 问题一   除了前台只有少
Web安全性测试介绍
wenroudong的博客
07-01 908
安全性测试主要是指利用安全性测试技术,在产品没有正式发布前找到潜在漏洞。找到漏洞后,需要把这些漏洞进行修复,避免这些潜在的漏洞被非法用户发现并利用。像我们测试中找软件产品bug一样,安全漏洞也是很难完全避免的。黑客攻击技术会层出不穷,而无论怎么样,我们所做的web网站一定是需要对用户提供一些服务,会开放一些端口,甚至给用户提供一些输入的界面,而这些方面都有可能成为漏洞的载体。还有一个主要原因是因为...
网页安全测试
xiaoxiaoyu85的专栏
02-19 583
1. 网页安全测试 http://www.cnblogs.com/qmfsun/p/3724406.html
网站安全检测 Web 安全测试工具
weixin_30920597的博客
06-18 409
随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和Web服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费Web安全测试工具。 ...
web安全测试--基础篇
qq_64444051的博客
07-02 7828
web安全测试概念及常用工具
web平台安全测试方案
PengDQ12的博客
07-27 6446
收集测试的资料平台网页的URL,用户名以及密码(最好不是超级用户,可以测试越权),Web服务器的IP(可以提供服务器的远程登录账号,以便观察测试过程中对服务器的性能影响)。需要告知开发此次测试的时间,沟通好后才能进行安全测试,并且将测试的范围,方法和相关风险提前告知,及时做好相关数据代码、环境的备份。可以选择自定义,点击”完全扫描配置“可手动修改/自定义你的测试策略,自定义后,点击应用和确定,然后点击下一步。点击“报告”按钮,选择报告模板、报告内容、布局等内容(按照需求选择),点击“保存报告”按钮,...
新手入门:Web安全测试大盘点
最新发布
软件自动化测试技术交流、资源分享
11-29 1227
随着互联网时代的蓬勃发展,基于Web环境下的应用系统、应用软件也得到了越来越广泛的使用
关于15种前端安全检测及危害
Thekingyu的博客
04-23 699
关于检测漏洞类型与检测方法如下表所示: 序号 漏洞类型 检测方法 漏洞危害 XSS 通过对交互点传入危险标签和闭合符号,结合前端内容判断XSS 漏洞是否存在。 XS...
常见的几种Web安全问题测试简介
软件测试技术交流分享
09-01 1353
XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。
网站安全检测:推荐8款免费的 Web 安全测试工具
weixin_34376986的博客
06-18 1034
  随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费 Web 安全测试工具。 ...
菜鸟浅谈——web安全测试
热门推荐
u010559128的博客
02-27 5万+
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
web安全性测试用例
weixin_33924220的博客
05-12 2431
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*()...
WEB安全测试要点总结
mathlpz126的博客
10-23 2万+
一、大类检查点: 大类 细项 上传功能 绕过文件上传检查功能 上传文件大小和次数限制 注册功能 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录功能
Web安全测试(一)-手工安全测试方法&修改建议
li_liu10的博客
02-03 1万+
本文主要简述了Web网站常见安全性问题,罗列简单手工测试方法及相关解决方法,结合部分网络资料及实际项目处理方法,希望给大家提供一定养份
Web安全测试检查点
逗号的博客
07-15 655
(转自: https://www.cnblogs.com/mrgavin/p/11626792.html) Web安全测试检查点 上传功能 1.绕过文件上传检查功能 2.上传文件大小和次数限制 注册功能 1.注册请求是否安全传输 2.注册时密码复杂度是否后台检验 3.激活链接测试 4.重复注册 5.批量注册问题 登录功能 1.登录请求是否安全传输 2.会话固定:Session fixation attack(会话固定攻击)是利用服务器的session不变机制,借他人之手获得认证..
网站安全测试-安全性缺陷
乌药ice
04-13 2715
SQL注入 概念: 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域中或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 步骤: 文本框输入:'or'1'='1 测试地址:http://demo.testfire.net/ 步骤: 文本框输入:Try' or 1=1 or 'test' = 'test 测试地址:http://testaspnet.vu...
web安全测试
m0_67880724的博客
04-08 3664
在进行目标渗透测试之前,最重要的一步就是收集信息,在这阶段要尽可能的收集目标的信息对目标了解的越多,之后进行的测试就越容易。 信息收集的一般方法 一. Whois查询 1.1whois是一个标准的互联网协议,在3whois查询中,能找到很多跟域名有关的信息,例如域名注册时间,域名所有人,一般的小型网站域名所有人是网站管理员。 常用的查询网址有爱站(https://whois.aizhan.com)站长之家(http://whois.chinaz.com)和Virus Total(...
Web应用安全测试指南
"Web安全测试规范是一份详细指导文档,旨在确保Web应用的安全性,它由安全解决方案部、电信网络与业务安全实验室、软件公司安全TMG和测试业务管理部共同制定。本规范遵循《Web应用安全开发规范》,并参考了如《OWASP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值