web基本安全测试

最新推荐文章于 2024-05-22 20:59:07 发布
最新推荐文章于 2024-05-22 20:59:07 发布
阅读量450 收藏 4
点赞数 1
分类专栏: 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43665351/article/details/113352598
版权

一、OWASP服务端安全测试体系

官网:https://owasp.org/
模拟网站:http://47.95.238.18:9080/index/php

常见安全测试工具:
OWASP ZAP 开源测试工具
WVS
AppScan
BurpSuite
Sqlmap 开源测试工具

安全测试关注维度
传输
敏感信息传递加密
链路加密
接口
访问限制
参数
注入:sql注入、命令注入、文件注入
越权:越过更高的权限、越过同级权限

常见安全List
业务数据传输链路分析
http是否传输敏感信息
tcp等协议是否可被解密
资产安全分析
api清单收集:明确敏感信息分级,可以访问性验证
api参数收集:明确参数分类并针对分析
token可以遍历
文件上传
身份参数的有效性验证

建立安全测试流程
白盒代码分析:自动化
sonar、findbugs等
黑盒扫描机制:自动化
zap、wvs、burpsuite、appscan、sqlmap
业务流程安全搜索:人工检测
burpsuite、zap

安全测试工具BurpSuite
重要功能
代理工具(Proxy)
爬虫(Intruder)
暴力破解(Intruder)
漏洞扫描(Scanner 付费)
重放请求(Repeater)
附属工具(decode comparer)
扩展定制(Extender)

主要应用场景:
服务端攻击:篡改请求
客户端攻击:篡改响应

Burp Suite使用
官网:https://portswigger.net/burp

命令注入
命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令,当应用程序将用户提供的不安全数据(表格、cookie、HTTP请求头等)传递到shell时,可能会发生命令注入攻击。在这种攻击中,通常由易受攻击的应用程序以特权执行由攻击者提供的操作系统命令。由于没有足够的输入验证,因此可能会发生命令注入攻击。

常用的漏洞payload
多语句:;
条件执行:&& ||
管道符号: |
案例:
127.0.0.1&&dir
127.0.0.1;dir
127.0.0.1|dir

SQL注入
SQL注入(英文:SQL injection),也称SQL注入或者SQL注码,是发生于应用程序于数据库层的安全漏洞。简而言之,是输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入的额恶意指令就会被数据库服务器认为是正常的SQL指令二运行,因此遭到破坏或是侵入。

strSQL="SELECT * FROM users WHERE(name='"+userName+'")and(pwd="'+passWord+'")"
userName = "1'OR '1'='1";
passWord = "1'OR'1'='1";
strSQL="SELECT * FROM users WHERE(name='1' OR '1'='1') and(pwd='1'OR'1'='1');"

XSS漏洞介绍与原理
跨站脚本攻击(简称XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。他允许恶意用户将代码注入到网页,其他用户在观看网页时就会收到影响。这类攻击通常包含了HTML及用户端的语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意的指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也是可以包括Java,VBScript,ActiveX,Flash或者是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

常见的攻击payload

><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
"><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>
<img src="javascript:alert('XSS')">
<img src="https://dss0.bdstatic.com/5aV1bjqh_Q23odCf/static/superman/img/topnav/baiduyun@2x-e0be79e69e.png" onerror="alert('XSS')">

CSRF 漏洞介绍与原理
跨站请求伪造,也被称为one-click attack或 session riding,通常缩写称CSRF或者XSRF,是一种胁制用户在当前登陆的web应用程序上执行非本意的操作的共哦方法。【1】跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任技术手段
跨站请求攻击,简单的说,是攻击者通过一些欺骗用户的浏览器去访问一个自己曾经认证过的网站并进行一系列操作(如:发邮件、发信息、支付)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能不保证请求本身是用户自愿发出的。
常见payload
利用url
利用图片请求
利用伪造表单

肥钛狼
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
(转)OWASP ZAP下载、安装、使用(详解)教程
diliu5480的博客
02-11 5285
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经...
OWASP top 10
m0_37910751的博客
12-12 426
概念:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)总结的前十风险,最初只是为了提高开发人员的安全开发意识,但后来发展成为实际的应用安全标准。 OWASP中国官网:http://www.owasp.org.cn/ 参考文档:http://www.owasp.org.cn/owasp-project/OWASPTop102017...
OWASP TOP10
m0_62207482的博客
02-13 1707
alert(1)
新手入门:Web安全测试大盘点
最新发布
yjt2045263063的博客
05-22 654
主要是指攻击者通过巧妙的构建非法SQL查询命令,插入表单或请求字符串后提交,并根据返回的结果,来获得想要的数据。一般情况下,他们会往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而攻击终端用户。在测试过程中,我们需要注意命名规则,以及对关键词的屏蔽等。,它可以利用堆栈溢出,在函数返回时,将程序的地址修改为攻击者想要的任意地址,达到攻击者的目的。所以,在测试过程中,我们需要注意输入输出的大小长度以及格式规范限制,还有需要多模拟一些异常,关注异常的处理情况。
信息收集【采集点OWASP CHINA】网址http://www.owasp.org.cn/
06-07 958
以下部分源于 安全家 http://www.anquanjia.net.cn/newsinfo/729480.html 资源虽多,优质却少。不要被信息海迷惑的心智,新人要想入门,除了优质的系统教学资源,别无他法。请从以下所有信息海,找到知识的来源,找教学。 不好意思,新人必须做一个伸手党:你不伸手要来源,去搜文章看的话,思维是无法汇聚的,文章也看得云里雾里。作为专家,也请多...
软件安全测试-web安全测试基础
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-10 2621
通过该文,你可以系统了解web安全测试的范围,类型,相关技术Cooike,Session,Token。
web安全测试--基础篇
qq_64444051的博客
07-02 7812
web安全测试概念及常用工具
Web安全测试基础
Candour_0的博客
03-17 138
Web安全测试基础
web安全测试
m0_67880724的博客
04-08 3643
在进行目标渗透测试之前,最重要的一步就是收集信息,在这阶段要尽可能的收集目标的信息对目标了解的越多,之后进行的测试就越容易。 信息收集的一般方法 一. Whois查询 1.1whois是一个标准的互联网协议,在3whois查询中,能找到很多跟域名有关的信息,例如域名注册时间,域名所有人,一般的小型网站域名所有人是网站管理员。 常用的查询网址有爱站(https://whois.aizhan.com)站长之家(http://whois.chinaz.com)和Virus Total(...
web安全渗透测试.7z
04-08
【标题】"Web安全渗透测试.7z...用户可以通过这些工具和代码了解Web安全的基本概念,学习如何进行有效的渗透测试,以及如何防止和修复安全漏洞。通过实践,安全专家和开发者可以提升对Web应用安全性的理解和保护能力。
安全测试-web安全-安全测试通用测试用例
04-05
需要做web安全测试人员,针对应用程序的安全,整理的通用安全测试用例,适用于bs和cs架构; 安全测试分类,安全漏洞理论知识; 实践手工及工具扫描,使用burpsuites及xray联动扫描; 帮助基础学习安全测试人员掌握...
web安全测试pdf书
03-14
首先,我们要了解Web安全测试基本概念。它是一种针对Web应用程序的专门测试方法,旨在发现并修复潜在的安全漏洞,如SQL注入、跨站脚本(XSS)、文件包含漏洞、权限管理问题等。这些漏洞可能导致数据被窃取、服务器...
WEB安全测试pdf
07-01
Web安全测试是信息技术领域中的一个重要分支,主要关注...以上知识涵盖了Web安全测试基本概念、威胁类型、测试方法和最佳实践。通过深入学习这些内容,并结合实际操作,可以有效提升Web应用的安全性,防止恶意攻击。
web安全详解(渗透测试基础)
fly_enum的博客
08-19 2321
一、Web基础知识 1.http协议 超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准,是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范,简单点说就是一种固定的通讯规则。 2.网络三种架构及特点 网络应用程序架构包括三种: 客户机/服务器结构(C/S) 浏览器/服务器结构(B/S) P2P结构 C/S架构 需要安装特定的客户端程序 针对不同平台开发不同版本 升级应用需重新安装 能够直接使用客户端硬件资源 B/S架构 客户端无需安装,
web安全测试的测试方法有哪些?
OKCRoss的博客
04-30 978
Web安全测试是确保Web应用程序安全的重要环节,通过采用合适的测试方法,可以有效地发现和修复潜在的安全风险和漏洞。在实施Web安全测试时,建议根据实际情况选择合适的测试方法,并根据结果采取相应的措施来提高应用程序的安全性。2.存储型XSS测试:将恶意的HTML或JavaScript代码存储在应用程序的数据库中,检查其他用户是否可以看到和执行该代码。1.反射型XSS测试:向应用程序输入恶意的HTML或JavaScript代码,验证该代码是否被输出到页面上并执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值