常见Web安全漏洞测试指南

置顶 已于 2022-04-09 13:51:15 修改
阅读量5.4k 收藏 10
点赞数 3
分类专栏: Web漏洞 文章标签: web安全 网络安全
于 2022-04-09 13:48:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45253622/article/details/124059748
版权
本文是一份详尽的Web安全漏洞测试指南,涵盖了从任意文件下载到业务逻辑漏洞等多个方面的测试方法和安全建议。测试内容包括但不限于文件下载、跨站脚本(XSS)、SQL注入、命令注入、XML外部实体注入、弱口令、文件上传、目录浏览、跨站请求伪造(CSRF)、信息泄露、失效的身份认证、失效的访问控制、安全配置错误、使用已知漏洞的组件等。文章还提供了每种漏洞的测试步骤、测试结论、安全建议和修复建议,旨在帮助提升Web应用的安全性。
摘要由CSDN通过智能技术生成

任意文件下载

漏洞描述

一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。

测试指南

使用 BurpSuite、或者手工抓取所有的url,以及寻找相关敏感的功能点,比如文件查看处,文件下载处等功能点,手工发送一系列 “…/” “./” 等字符来遍历高层目录,并且尝试找到系统的配置文件(/etc/passwd,win.ini等)或者该web站点相关系统中存在的敏感文件(如:java应用中的…/…/…/WEB-INF/web.xml)。

测试结论

若发送的相关敏感文件的payload能够成功执行,返回相关报文,则存在文件下载漏洞。

安全建议

  • 指定下载目录,下载路径不允许超过当前下载目录。

  • 过滤 “…/” “./” 等特殊字符。

跨站脚本攻击

漏洞描述

当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使

了解本专栏 订阅专栏 解锁全文 超级会员免费看
carefree798
关注
专栏目录
订阅专栏
web漏洞检测项
千寻的博客
05-22 735
文章目录常规web漏洞检查列表注入漏洞XSS安全配置错误登录认证缺陷敏感信息泄露权限控制不严格跨站请求伪造 (CSRF)使用了存在漏洞的组件其他类型漏洞其他漏洞已公开高危漏洞业务逻辑漏洞检测列表登录注册密码找回购买支付充值抽奖/活动代金卷/优惠卷订单账户用户信息后台管理业务查询业务查询传输过程评论第三方商家 常规web漏洞检查列表 注入漏洞 HTML注入-反射性(GET)(POST)(Current URL) HTML注入-存储型 iFrame注入 LDAP注入(Search) 邮件Header注入 PH
WEB应用安全测试指南–蓝队安全测试2】--超详细-可直接进行实战!!!亲测-可进行安全及渗透测试
最新发布
Dreams°的博客
10-10 2552
任意文件下载漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下 web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器 API、文件标准权限进行攻击。严格来说,任意文件下载漏洞并不是一种 web漏洞,而是网站设计人员的设计“漏洞
安全测试员必知!5大常见Web安全漏洞测试方法归纳!
cky8792的博客
09-20 1625
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一、...
Web漏洞检测及修复
秋天穿秋裤的Blog
07-16 2366
挺全的,建站时候应该一一检测,做安全审查~
web漏洞检测
weixin_34388207的博客
03-27 233
现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全Web环境成为网管员和安全管理员们义不容辞的责任。但是巧妇难为无米之炊,该选择哪些安全工具呢?扫描程序可以在帮助造我们造就安全Web站点上助一臂之力,也就是说在***“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐,供您参考。 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服...
安全测试员需知,5大常见Web安全漏洞测试方法归纳。
hlsxjh的博客
03-13 497
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
### DVWA-安装-漏洞测试-漏洞修复指南 #### 安装与配置 根据文档描述,为了使用DVWA(Damn Vulnerable Web Application)进行漏洞测试,首先需要安装XAMPP或WampServer作为Web服务器环境。以下是安装步骤的概述: ...
OWASP Web 安全测试指南 WSTG -Web 安全测试框架 SDLC 测试工作流程
seanyang_的博客
12-04 442
在应用程序开发开始之前,必须定义一个充分的 SDLC,其中每个阶段要有安全措施。安全要求从安全角度定义应用程序的工作方式。必须对安全要求进行测试。在这种情况下,测试意味着测试需求中所做的假设,并测试需求定义中是否存在差距。例如,如果存在一项安全要求,规定用户必须先注册才能访问网站的白皮书部分,这是否意味着用户必须向系统注册,还是应该对用户进行身份验证?确保要求尽可能明确。用户管理认证授权数据保密性Integrity 完整性会话管理。
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 9138
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
这个平台是《Web安全攻防:渗透测试实战指南》一书中的实践工具,提供了对XSS漏洞进行探测和分析的功能。"原始码"表明这是该平台的源代码,意味着我们可以深入了解其工作原理并根据需要进行定制或扩展。 【描述详解...
web漏洞测试(一)
tikiyou的博客
05-08 250
web漏洞测试 同事的一个网站要对外使用,由于以前发生过被黑的事情,所以这次让我们做一下web漏洞测试,在网上找了找相关的工具,基本都说如下三种强大,Nessus、Acunetix(AWVS)、brup suite,同事使用Nessus做了一个生产检查,我则用AWVS做了一下本地开发测试,选择了扫描本地安装的XAMPP的Apache缺省网站,信息如下: 前两个小时运行很快,进度到了95%,以为很快能结束呢, 1000多分钟了,还是98% 完全扫描花费了近1200分钟,这是20个小时啊,完全扫描真是内容
web安全测试规范
01-28
web安全测试规范
Web安全测试规范
05-20
Web安全测试规范
Web应用开发安全测试规范(标准草案)20190318.docx
04-16
Web应用开发安全测试规范(标准草案)20190318.docx
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster原理详解
热门推荐
杨秀璋的专栏
09-06 1万+
Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、SQL注入等常见Web漏洞,都可以通过Web扫描器进行扫描。各个扫描器的功能和结果都不同,常见的包括HScan、HScan、X-Sccan、Acunetix Web Vulnerability Scanner、Jsky、Router Scan扫描工具等。本文主要讲解三个常见Web漏洞扫描工具,分别是NMapp、ThreatScan和DirBuster。希望这篇基础性文章对你有所帮助.
七个优秀开源免费Web安全漏洞扫描工具
wjianwei666的专栏
03-17 989
Web安全漏洞扫描技术是一种用于检测Web应用中潜在的漏洞或者安全风险的自动化测试技术。Web安全扫描工具可以模拟黑客行为,检测常见漏洞,例如:Sql注入、XSS、文件上传、目录遍历等。Web漏洞扫描工具可以用于检测Web应用程序中可能存在的漏洞,例如:代码注入、代码泄漏、跨站脚本、跨站请求伪造、会话劫持、文件传输等。目前市面上有许多Web安全漏洞扫描软件,有商业的也有开源免费的,例如AppScan就是一个比较流行的商用Web安全扫描工具。
Web应用安全测试指南
- **自动化工具测试**:利用AppScan等工具进行自动化漏洞扫描,包括应用扫描和Web服务扫描,以便发现常见安全漏洞。 - **服务器信息收集**:测试服务器的运行账号权限、端口扫描、HTTP方法,以识别潜在的弱点。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

carefree798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值