软件的安全包含很多方面的内容,主要的安全问题是由软件本身的漏洞造成的,下面我们说说几种常见的软件安全性缺陷和漏洞,大家在程序开发或是测试时不妨考虑或验证一下,我们所开发或是测试的程序,是否存在这些方面的安全隐患。
1.SQL注入
所谓SQL注入式攻击,是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
简单举个小例子,一个登录模块,让你输入用户名密码。我们一般都会老老实实的输入我们的用户名和密码。但如果我们刻意的去绕过登录认证m呢?猜想下面这个sql语句,单说用户名,开发人员很可能会这样去数据库里对比:
Select * from sys_user where username=‘XXX’
当然可能更复杂,假如我们在输入框里输入下面一句特殊的字符会如何?’or‘1=1
这是段神奇的字符,因为这样这个sql变成:
Select * from sys_user where username=‘’or‘1=1’
这样我们跳过了用户名的验证,实现了入侵。
2.修改提交数据
曾经某公司做过一个关于在线支付的商城,在安全性测试过程中,发现通过抓包抓到的提交价格(如使用火狐插件:live http headers),经过修改再发包可以通过。简单来说是本来100块钱买的东西,抓包修改为1块能成功购买。这成为了一个巨大的隐患。
3.靠谱的软件安全测评机构推荐
湖南卓码软件测评有限公司是一家第三方软件测试公司,通过了中国合格评定国家认可委员会(CNAS)认可,保证了测试能力成熟度,出具的检测报告具有权威性和法律效力。
专业从事软件测试服务,包括软件项目验收测试、科技成果鉴定测试、软件产品确认测试、浏览器兼容测试、测试外包服务等。
6262
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
