术语名称或缩写 | 含义 |
session | 指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。以及如果需要的话,可能还有一定的操作空间。 |
cookie | 指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据。 |
SQL注入攻击 | 通过把SQL命令插入到WEB表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 |
XSS攻击 | 跨站脚本攻击,XSS允许恶意web用户将代码植入到提供给其他用户使用的页面中。 |
序号 | 模块 | 安全规范 | 测试结果 | 备注 |
1 | 页面链接 | 不登录系统,直接输入登录后的页面的url是否可以访问。 |
|
|
2 | 下载链接 | 不登录系统,直接输入下载文件的url是否可以下载。 |
|
|
3 | Session | 退出登录后按后退按钮能否访问之前的页面。 |
|
|
是否对session的有效期进行处理。 |
|
| ||
4 | 错误信息 | 错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等。 |
|
|
5 | 网页源码 | 查看网页源代码时能否看到重要信息。 |
|
|
6 | 输入框 | 重要信息(如密码,身份证号码,信用卡号等)输入时是否用明文显示。 |
|
|
7 | 口令验证 | 弱口令使用,密码验证方式中能否使用简单密码。如密码标准为6位以上,字母和数字混合,连续的字母或数字不能超过n位。 |
|
|
8 | 权限控制 | 手动更改URL中的参数值能否访问没有权限访问的页面 |
|
|
9 | Cookie | 登录后,在浏览器地址栏里输入命令<input type="button" οnclick="alert(document.cookie)" />是否有cookie信息显示 |
|
|
Cookies中设置http-only属性。 |
|
| ||
10 | 上传文件 | 上传文件是否有大小限制:上传太大的文件是否导致异常错误;上传0K的文件是否会导致异常错误;上传并不存在的文件是否会导致异常错误。 |
|
|
上传是否对上传文件进行格式控制,需要确保可执行文件都被过滤。 |
|
| ||
关于上传是否成功的判断,上传过程中中断,程序是否有判断上传是否成功。 |
|
| ||
上传带有特殊符号文件名的文件。 |
|
| ||
上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe。等可执行文件后,确认在服务器端是否可直接运行 |
|
| ||
11
| SQL注入漏洞 | 是登陆-服务器端和客户端都要限制用户输入的长度,客户端可以查看网页源代码,服务器端绕开界面,直接用fiddle发送数据给服务端 |
| 工具或手工检测 |
URL地址注入地址参数后面加’,不报错,通过 |
|
| ||
地址参数后面加and 1=2,不报错,通过 |
|
| ||
地址参数后面加order by 2,不报错,通过 |
|
| ||
地址参数就是带参数的地址 http://www.xxx.com/Show.asp?id=77&nameid=290521001&page=1 |
|
| ||
12 | 跨站攻击漏洞(xxs) | 在所有的输入框中输入脚本标签<input type="button" value="上" οnclick="alert('你成功了')" class="button"/>后能否保存,保存成功后页面刷新是否有弹窗; |
|
|
输入<input type="button" οnclick="alert(document.cookie)" />,能获取到当前登录用户的cookie |
|
| ||
输入<html>gfhd</html>,看是否出错 输入<input type=”text” name=”user”/>,看是否出现文本框 输入<script type=”text/javascript”>alert(“提示”)</script>看是否出现提示 |
|
|