安全测试定义: 安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力,根据安全指标不同测试策略也不同。
1、攻击类:
SQL注入:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
Xss攻击
跨站脚本攻击(Cross Site Scripting简称XSS)
测试方法:1、在文本输入地方输入Script代码,如:。测试是否进行转义
2、在图片上传的地方上传gif格式的图片,图片使用记事本编辑插入一下内容:GIF89a。测试是否会校验根据目前现有的资料认为以上的情况有遭受XSS攻击的风险。
3、DDos攻击
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。没有第三次握手。
根据目前掌握的资料认为,DDos攻击是利用了TCP/IP协议的漏洞,除非不用TCP/IP,才有可能完全抵御住DDoS攻击。同时测试模拟DDos攻击也存在着风险,所以对于该类型的攻击,建议以防御为主。网上看到的一些防御方法如下:
a、关闭不必要的服务
b、限制同时打开的Syn半连接数目
c、缩短Syn半连接的time out 时间
d、及时更新系统补丁