web应用的安全测试~

最新推荐文章于 2024-07-23 20:24:08 发布
最新推荐文章于 2024-07-23 20:24:08 发布
阅读量745 收藏 6
点赞数 1
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39405435/article/details/106347543
版权
本文详细介绍了Web应用中的SQL注入和XSS攻击,包括它们的原理、测试方法和防范措施。针对SQL注入,文章讲解了如何通过注入恶意SQL语句获取数据库信息,以及如何通过'or 1=1#'进行后台身份验证绕过。对于XSS攻击,阐述了注入恶意脚本的原理,并提供了验证方法。同时提到了使用IBM Security AppScan Standard进行工具测试的步骤。
摘要由CSDN通过智能技术生成

一、手动测试
1、SQL注入
原理:将有恶意的SQL语句作为参数进行输入,使得服务器执行该恶意的SQL命令,从而获得数据库的相关信息或篡改数据库的数据。
原因:开发对输入没有做细致的过滤。
防护:加密、过滤输入、使用自定义的错误提示等。
注入:
1)先输入猜测的表名,如果返回成功,
And (Select count(*) from 表名)<>0
说明该表名正确;然后再猜测列名,同理,如果返回成功,说明该列名正确。
And (Select count(列名) from 表名)<>0
2)后台身份验证绕过
前提是:账号和密码在同一条查询语句;密码不加密。
原理:验证绕过漏洞就是’or’=‘or’后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误。
在这里插入图片描述
3)利用万能语句(’or 1=1#)屏蔽密码进行登录
比如:在用户名输入框中输入:’or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:
   select * from users where username=’’ or 1=1#’ and password=md5(’’)
  语义分析:“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了。
例子:
http://www.guoshang.tk/news/read.php?id=50
1、 可以看出这是一个动态URL,也就是说可以在地址栏中传参,这是SQL注入的基本条件。
2、判断是否存在sql注入可能。
在地址后面空上一格,敲入 and 1=1 ,然后 and 1=2 。敲入 and 1=1 帖子返回正常, and 1=2 时帖子返回出错,说明sql语句被执行,程序没有对敏感字符进行过滤。现在可以确定此处是一个SQL注入点,
http://www.guoshang

最低0.47元/天 解锁文章
qq_39405435
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Web应用程序安全性测试指南
qqqqqkmbnjjhb的专栏
05-19 4822
由于存储在Web应用程序中的数据量巨大,并且Web上的事务数量增加,因此,对Web应用程序进行适当的安全测试正变得越来越重要。在本文中,我们将详细了解网站安全测试使用的关键术语及其测试...
web安全性测试总结
11-28
sql注入:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串 示例:在查询中输入字符串 ' or 1=1 --
Web应用程序测试方法和工具摘要
cuyi7076的博客
06-25 360
Web应用程序测试方法 在本文中, Web应用程序是指通过浏览器访问的所有应用程序。 本节概述了一些可用于测试Web应用程序的测试方法。 可用性测试 为了使应用程序有效,用户界面应符合标准。 遵循适用的全球公认惯例。 例如,颜色编码约定表示使用红色停止进程,使用绿色启动进程。 可用性测试在旨在简化手动任务的应用程序中起着关键作用。 这些应用程序应符合可访问性标准。 例如,广泛使...
web安全测试测试方法有哪些?
最新发布
nhb687096的博客
07-23 498
Web安全是确保Web应用程序安全的重要环节,它旨在发现和修复潜在的安全风险和。本文将介绍一些常见的Web安全测试方法,帮助您了解如何有效地评估Web应用程序的安全性。输入验证是Web安全测试的基础,它涉及对用户输入的数据进行合法性检查。常见的输入验证方法包括:1.长度验证:确保用户输入的长度符合预期范围。2.格式验证:检查用户输入是否符合特定的格式要求,如电子邮件地址、电话号码等。3.黑名单验证:将用户输入与已知的危险字符或模式进行对比,以防止注入、跨站脚本攻击等。
WEB安全测试点报告.xlsx
07-09
WEB安全测试点报告,辅助做好系统安全测试
安全测试报告
06-13
系统安全测试报告
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf
08-12
2. Web应用安全检测的类型:Web应用安全检测可以分为两种类型:静态应用安全测试(SAST)和动态应用安全测试(DAST)。静态应用安全测试是指在不运行Web应用程序的情况下对其进行安全检测,而动态应用安全测试是指在...
Web安全测试规范 应用安全测试
07-22
Web安全测试是指对Web应用程序进行的一系列安全性评估活动,目的是识别并修复潜在的安全漏洞,确保Web应用能够抵御各种攻击和威胁。随着互联网技术的发展,Web应用越来越广泛地应用于各个领域,其安全性问题也日益...
金融网络安全Web应用服务安全测试通用规范及众测实施指南.zip
03-25
金融网络安全 Web 应用服务安全测试通用规范,用于规范和强化现有金融信息系统Web应用服务安全测试内容和方法。 金融网络安全网络安全众测实施指南,内容涉及网络安全众测组织实施架构、网络安全众测实施流程、 网络...
1.金融网络安全 Web应用服务安全测试通用规范.pdf
05-08
人民银行发布金融网络安全 Web应用服务安全测试通用规范
金融网络安全 Web应用服务安全测试通用规范 (JRT 0213—2021).pdf
03-01
中国人民银行发布Web应用服务安全测试通用规范,规范金融行业各类web应用安全测试规范。
Web应用程序测试报告
11-26
Web 应用程序报告|该报告包含有关 web 应用程序的重要安全信息|该报告由 IBM Security AppScan Standard 创建
安全测试报告.docx
07-23
源代码,程序安全测试报告模板
WEB安全性测试技术
03-23
WEB安全性测试软件测试WEB安全性测试一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。1.安全体系测试1)部署与基础结构l网络  WEB安全性测试  软件测试  WEB安全性测试  一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密。参数操作、异常管理、审核和日志记录等几个方面入手。  1.安全体系测试  1)部署与基础结构  l网络是否提供了安全的通信  l部署拓扑结构是否包括内部的防火墙  l部署拓扑结构中是否包括远程应
Web安全性测试总结
weixin_34148508的博客
05-11 201
一、工具扫描 目web安全扫描器针对 XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。 商业软件web安全扫描器:有IBM Rational Appscan、WebInspect、Acunetix WVS 免费的扫描器:W3af 、Skipfish 等等 可以考虑购买商业扫描软件,也可以使用免费的,各有各的好处。 首...
网站服务器安全检测报告,WEB服务器安全自查报告.doc
weixin_42357981的博客
08-11 1077
WEB服务器安全自查报告WEB服务器安全自查报告一、操作系统安全配置报告1、停掉Guest 帐号在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。2、限制不必要的用户数量去掉所有的测试用帐户、 共享帐号、普通部门帐号等等不必要账号。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。3、创建2个管理员用帐号创建一个一般权限帐号用来处理一些日常事...
web安全测试总结
weixin_34218890的博客
05-06 539
安全测试视频:http://edu.51cto.com/course/5733.html常见问题: 1.XSS(CrossSite Script)跨站脚本***XSS(CrossSite Script)跨站脚本***。它指的是恶意***者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。测试方法: 在数据输入界面,添...
网站安全测试报告模板
热门推荐
吟泱
05-15 2万+
                    XXXX网站安全测试报告 摘要 经xxxxx网站负责人的授权,xxxxx有限公司安全测试小组对xxxxx网站进行安全测试测试结果如下: 严重问题:7个 中等问题:8个 轻度问题:6个 一.安全风险分布 详细内容如下表: 1 发现问题详细内容 问题等级 种类 数量 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值