Web安全之后端安全测试-漏洞介绍

最新推荐文章于 2024-08-17 22:38:03 发布
最新推荐文章于 2024-08-17 22:38:03 发布
阅读量1.4k 收藏 6
点赞数 1
分类专栏: Web安全 文章标签: 安全 Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012002125/article/details/108743563
版权

Web安全之后端安全测试-漏洞介绍

一、文件上传漏洞

文件上传漏洞简介

文件上传漏洞是开发者对文件上传功能没有做充足的验证,导致允许用户上传恶意的文件,如木马、病毒、恶意的脚本等。

  • 文件上传漏洞发生的场景:

文件上传是大部分web应用都具备的功能,如用户上传头像、附件、图片等到服务器。

文件上传的绕后安全检测

  • 初阶绕过:

1、后缀名绕后

2、前端绕过、.htaccess绕过、大小写绕过

  • 高阶的绕过:

1、文件流

2、字符串截断绕过

3、文件头检测绕过

二、SQL注入漏洞

SQL注入简介

SQL注入是发生在应用程序与数据库层的安全漏洞。

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

  • 基础知识

一般的应用可以划分为:用户的界面层+业务逻辑层+数据访问层

  • 原理展示

原始的应用查询语句为:select id,name from user where id = ?

如果程序是直接将用户的输入作为查询条件时如下

当用户输入1时,查询语句为:select id,name from user where id = 1

当用户输入1 or 1=1时,查询语句为:select id,name from user where id = 1 or 1=1 条件恒为真查询出所有数据,实现了数据非法获取。

GET型SQL注入

  • GET型SQL注入简介

通过在URL中修改对应的ID值,为正常数字、大数字、字符(单引号、双引号、双单引号、括号)反斜杠\来探测URL中是否存在注入点。

如网页提供的是通过输入用户id查询用户信息的按钮,输入id点击后发送get请求获取用户信息,但是当用户将原本输入id的输入替换成1'union select 1,2,3,4 --时就可以探测到所查询数据表的信息

即:http://xxxx.com/sqli_1.php?title=1' union select 1,2,3,4 --&action=search

POST型SQL注入

  • POST型SQL注入简介

POST注入信息是存储在HTTP实体内容中不是URL,通过构造实体内容达到执行SQL语句非法获取信息的目的。

 

三、判断SQL注入点与防御方式

  • 判断方式:

1、单引号判断

当用户输入带有单引号的输入时,如果网页返回错误,则存在SQL注入

原因:无论是字符串还是整型都会因为单引号个数不匹配而报错

  • 判断注入类型:

1、数字型

如通过构造输入 and 1=1

2、字符串型

通过构造输入and '1'='1

  • 防御方式:

1、减少错误信息反馈

2、对输入特殊字符进行转义

3、对特殊词组进行过滤(黑名单)

常见的SQL输入类型

1、时间盲注

2、隐藏的HTTP头盲注

3、利用数据库的bug进行报错注入

四、XSS攻击(Cross-Site Scripting,跨站脚本攻击)

XSS 攻击是如何产生的。作为最普遍的网页语言,HTML 非常灵活,你可以在任意时候对 HTML 进行修改。但是,这种灵活性也给了黑客可趁之机:通过给定异常的输入,黑客可以在你的浏览器中,插入一段恶意的 JavaScript 脚本,从而窃取你的隐私信息或者仿冒你进行操作。这就是 XSS 攻击(Cross-Site Scripting,跨站脚本攻击)的原理。

  • 反射型XSS

测试代码<script>alert(document.cookie)</script>

 

  • 存储型XSS

 

  • DOM型XSS

 

  • XSS攻击危害

1、窃取 Cookie

2、未授权操作

3、按键记录和钓鱼

  • XSS防御手段

1、验证输入 OR 验证输出

2、编码

3、检测和过滤

五、CSRF(Cross-Site Request Forgery,跨站请求伪造)

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

 

  • CSRF 攻击的基本条件

1、使用 Cookie 进行认证;

2、参数中不包含任何隐私信息

  • CSRF攻击危害

1、修改密码

2、转账

3、相当于绕过身份认证,进行未授权的操作

  • CSRF防御手段

1、添加CSRFToken

2、二次验证来加强防护

六、SSRF(Server Side Request Forgery,服务端请求伪造)

 

  • SSRF攻击危害

1、内网探测

2、文件读取

  • SSRF防御手段

1、白名单限制

2、协议限制

3、请求端限制

七、框架级别漏洞利用

CVE-广泛认同的信息安全漏洞或者已经暴露出来的弱点给出的一个公共名称。

注:文中图片来源与极客时间中的web基础安全攻防专栏

 

小黑测试员
关注
专栏目录
浅聊后端网络安全
前端-尔嵘
03-14 607
网络攻击已经成为现代社会的一种常见威胁,而服务器端作为网络系统中最重要的组成部分之一,其安全性显得尤为重要。在本文中,我们将探讨一些后端网络安全的原则和技术,以帮助您保护自己的服务器免受恶意攻击。
漏洞挖掘】——86、Web Service安全测试
Fly_鹏程万里
06-13 101
Web Service也被称之为"XML Web Service",它是一种跨语言和跨平台的远程调用(RPC)技术,主要通过使用标准的Internet协议来提供和接收数据的方式,允许不同的应用程序在不同的平台和编程语言之间进行通信,Web Service通常使用基于标准的XML(可扩展标记语言)格式来编写和传输数据,它们使用HTTP(超文本传输协议)作为通信协议并支持使用SOAP、REST等协议进行通信。
XSS漏洞
最新发布
qq_60247269的博客
08-17 713
XSS漏洞,全称跨站脚本(Cross Site Scripting),是一种常见的Web应用程序安全漏洞。它允许攻击者在受害者的浏览器中注入恶意脚本,当受害者访问包含这些恶意脚本的网页时,攻击者就可以利用这些脚本执行任意代码,从而进行恶意活动。
传统后端漏洞----(Web Server) 解析漏洞
怡红群芳的博客
06-29 1059
这几天各种技术面试接踵而至,压得我喘不过气了!然后面试官问了我这个SSRF漏洞原理和利用方式以及防御手段,当然同时还问了好几个Top10漏洞
Web安全小结之后端
weixin_30709929的博客
05-20 226
转载于:https://www.cnblogs.com/ysyasd/p/10894711.html
总结后端开发常见安全问题及应对方案
热门推荐
baoruizhe的博客
11-16 1万+
前言 本文主要梳理到公司参与团队后端开发2年多来,总结开发过的项目中遇到的各种安全问题及应对方案。 目前我们后端团队使用的技术主要还是SpringBoot + Mysql + Redis这一套 ,暂未涉及到SpringBoot Cloud,后面内容主要围绕目前团队使用的技术框架来讲解的。 平时大家可能更多注重业务层面的开发(CRUD),然后实现产品的需求就行了,但是却忽略了产品上线后的各种安全问题带来的影响。 下面总结了一些过去发生过的(出现频率高,影响严重的)开发上的问题及带来的严重影响: 安全
appscan如何进行web安全性测试_web端常见安全漏洞测试结果分析-- appscan
weixin_35323111的博客
12-30 1095
基于appscan测试结果分析:一、XSS跨站脚本指的是攻击者往Web页面里插入恶意html代码,通常是JavaScript编写的恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一JavaScript可以用来获取用户的cookie、改变网页内容、URL调转,存在XSS漏洞的网站,可以盗取用户cookie、黑掉页面...
网络安全---渗透测试----业务逻辑漏洞(1-业务逻辑)
weixin_52796034的博客
10-23 558
业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程。业务逻辑是指在实际业务操作中,通过对业务规则和规程的分析和抽象,确定业务处理的规则和步骤。业务逻辑通常由一组规则或者算法来描述业务流程,涉及到数据的处理、存储、分析和展示等方面,它是一个抽象的概念,在软件开发中占据着重要的地位。在面向对象编程中,业务逻辑通常被封装在对象的方法中,以此来实现对数据的操作和处理。在Web应用程序中,业务逻辑通常会包含在Controller层中,用于处理用户请求和响应结果。
(持续更新中)Web功能测试下的安全测试如何进行?
qq_22643187的博客
03-13 1295
想到安全测试很多功能测试人员都很难入手,以为都是专业的安全测试人员去做。比如经常碰到的任务:某某某测试下系统有哪些安全问题,而对于经历过长达五六年的 web 功能、性能、接口测试人员来说,面对该任务就一头雾水。面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!Q:安全测试测试什么啊?Q:安全测试策略如何编写?Q:安全测试如何执行?
WEB攻防之业务安全测试--学习
weixin_53884648的博客
04-10 924
在浏览器中存在着同源策略,所谓同源是指域名、协议、端口相同。当使用 Ajax 异步 传输数据时,非同源域名之间会存在限制。其中有一种解决方法是 JSONP(JSON with Padding),基本原理是利用了 HTML 里元素标签,远程调用 JSON 文件来 实现数据传递。
后端安全规范
06-12
公司内部使用的安全文档,喜欢的同学可以下载去看看,还是值得研究的。
web安全第三章 web后端
♀love♀的博客
12-24 398
后端系统安全性的重要性
DYFdingyifei的博客
03-27 793
下面将介绍后端系统安全性的重要性、常见的安全威胁和攻击方式,以及一些常用的安全保护措施和最佳实践。通过了解常见的安全威胁和攻击方式,并采取相应的安全保护措施和最佳实践,可以帮助我们保护后端系统免受安全漏洞和攻击的影响,确保业务的正常运行和用户数据的安全。跨站请求伪造(CSRF)攻击:攻击者通过伪造合法的用户请求,使用户在不知情的情况下执行恶意操作,如修改用户的账户密码或进行非法转账。安全认证和授权:使用安全的认证和授权机制,如OAuth、JWT等,确保只有经过验证和授权的用户才能访问受限资源。
后端安全
weixin_30568715的博客
10-11 127
一、xss 攻击 1、url注入脚本攻击 http://localhost:8087/?from=%3Cscript%3Ealert(1)%3C/script%3Eare%20you%20ok?? 2、存储型xss攻击 在动态生成的html中进行script注入,如留言版等注意在图片属性编辑的时候添加onerror可以执行脚本语言 <!--在执行的时候就会弹出1,那么同...
web应用的安全测试~
qq_39405435的博客
05-26 750
一、手动测试 1、SQL注入 原理:将有恶意的SQL语句作为参数进行输入,使得服务器执行该恶意的SQL命令,从而获得数据库的相关信息或篡改数据库的数据。 原因:开发对输入没有做细致的过滤。 防护:加密、过滤输入、使用自定义的错误提示等。 注入: 1)先输入猜测的表名,如果返回成功, And (Select count(*) from 表名)<>0 说明该表名正确;然后再猜测列名,同理,如果返回成功,说明该列名正确。 And (Select count(列名) from 表名)<>0
后端角度看安全
qq_40495860的博客
11-21 2353
后端角度看安全
web后端漏洞分析与防御
qq_41875147的博客
02-28 526
环境准备 node.jsnpm npm config set registry https://registry.npm.taobao.org npm i-g jspm jspm i 数据库数据导入:C:\Program Files (x86)\MySQL\MySQL Server 5.0\bin&gt;mysql -hlocalhost -uroot -pwsc -Dtes...
Web安全测试:原理、漏洞与实战指南
本文档由Web安全测试ByQMC测试组的yukeezhang撰写,旨在深入探讨Web安全问题,包括浏览器、Web服务器、业务服务器以及数据库的安全隐患。作者强调了安全测试的重要性,指出由于其经常被忽视,因此对其进行深入研究...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值