Web安全测试FAQ

最新推荐文章于 2023-06-24 14:15:00 发布
最新推荐文章于 2023-06-24 14:15:00 发布
阅读量964 收藏 1
点赞数
分类专栏: 软件测试

Web安全测试FAQ

 

 

【FAQ1:如何查看源文件?】

问题描述如何查看源文件?

解决方案:

1. 一般情况下:在web页面点击右键,在右键菜单中选择“查看源文件”选项。

2. 该web页面的右键功能被锁定:在浏览器的主菜单中找到“查看”,在其下拉列表中选择“查看源代码”选项;

3.该web页面采用没有主菜单的框架设计:建议使用带有“解除右键锁定”插件的浏览器,例如使用遨游浏览器(Maxthon),可以安装其鼠标解锁插件(EnableRightClick)。

 

【FAQ2:框架类型的web,如何获得主页面的真实URL?】

问题描述框架类型的web,浏览器地址栏中显示的URL一般不是主页面的实际URL,如何获得主页面的真实URL

解决方案:开启webscarab,使用代理,拦截GET和POST类型的HTTP请求,可以获得所有操作过程中涉及的URL。

 

【FAQ3:为什么在地址栏输入URL,有时可以正常打开页面,有时候不能?】

问题描述为什么在地址栏输入URL,有时可以正常打开页面,有时候不能?

原因分析:这种情况并不是真正的通过URL绕过鉴权的安全漏洞。由于浏览器会自动记录会话ID(SessionID),即使关闭了访问原web的tab页,只要不关闭浏览器本身,这些会话ID依然不会清空,这时输入URL,它会继承前次会话ID。

解决方案:记录URL后,关闭浏览器重启,或使用其他浏览器,然后再在地址栏内输入URL进行访问。

 

【FAQ4:为什么有些输入数据,在提交时,HTTP代理(如webscarab)却拦截不到呢?】

问题描述为什么有些输入数据,在提交时,HTTP代理(如webscarab)却拦截不到呢?

原因分析:目前有些web使用了AJAX技术,当用户在页面的一些输入域中输入数据时,AJAX会自动在后台发送这些数据。如果测试者在填写完所有的输入域后,再配置HTTP代理,那么,在这之前通过AJAX提交的数据就拦截不到了。

解决方案:建议在填写数据前就配置webscarab代理。

 

【FAQ5当产品由于特殊原因(比如客户需求、特殊的应用场景),无法满足《Web安全测试规范》的一些安全性要求时,应该怎么办?

问题描述当产品由于特殊原因(比如客户需求、特殊的应用场景),无法满足《Web安全测试规范》的一些安全性要求时,应该怎么办?

解决方案:请准备好相关材料和说明,联系安全测试小组(何伟祥)讨论出具体实施方案。

 

【FAQ6AppScan对登陆页面含有验证码的Web应用无法进行扫描

问题描述由于会话超时或主动注销,导致会话ID失效,AppScan无法再对需要登录才能访问的URL进行扫描。

解决方案:录制登录之后,在scan configuration设置中,对login management下保存的参数中的会话ID进行设置,取消掉对JSESSIONID的tracking。这样再进行扫描就不会出现会话超时了

 

 

 


zj0910
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JspShop网络购物系统v 1.0
10-19
5.查看web-inf下面的classes\ckstudio\db\faq.class的最后修改时间是否为您刚才修改的时间,如果是,那么修改成功,否则,您需要对 build.bat 、web-inf文件夹和src文件夹作位置的调整(web-inf在网站根目录下,和...
500道网络安全/WEB安全面试题合集!附答案解析
yinjiyufei的博客
06-05 1005
2023年网络安全面试题合集,啃完这篇文章就够了!
网络安全-常见面试题(Web、渗透测试、密码学、Linux等)
热门推荐
关注网络安全、云原生安全
09-21 2万+
目录 WEB安全 OWASP Top 10(2017) Injection - 注入攻击 Broken Authentication-失效的身份认证 Sensitive Data Exposure-敏感数据泄露 XXE-XML外部实体 Broken Access Control-无效的访问控制 Security Misconfiguration-安全配置错误 XSS-跨站脚本攻击 Insecure Deserialization-不安全的反序列化 Using Components w.
渗透测试试题-----web方面知识点
Z_X_L_的博客
07-24 1万+
本文转自这篇文章 00 前情提要 01 Web相关知识点 1.漏洞类 2.情景类 3.其他类 00 前情提要 本文仅为个人整理汇总,其试题来源于各个平台,其中包括CSDN、Github、吾爱破解论坛等。为个人复习所用,现整理分享给大家。 01 Web相关知识点 1.漏洞类 1、常见的Web安全漏洞有哪些? SQL注入 XSS 文件遍历、文件上传、文件下载 垂直越权、水平越权 逻辑漏洞 2、SQL注入漏洞 SQL注入的原理: 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服
你想学的黑客(攻击)技术全在这了,一篇打包带走!
MachineGunJoe666
07-30 1319
前言: 大家好,今天给大家介绍一下,Web安全领域常见的一些安全问题。 1. SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下: 对于一个根据用户ID获取用户信息的接.
常见的几种Web安全问题测试简介
软件测试技术交流分享
09-01 1349
XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。
iMacros为铬「iMacros for Chrome」-crx插件
03-20
Web开发人员使用iMacros进行Web回归测试,性能测试和Web事务监视。它也可以与Google Speed Tracer,Firebug和其他Web开发和测试工具结合使用。包括XPath支持 iMacros可以与Greasemonkey样式的内容脚本结合使用,并且...
django-docs-2.2-zh-hans.zip
05-09
Web 应用的发展中,安全是最重要主题,Django 提供了多种保护手段和机制。 安全概览 在 Django 中披露的安全问题 点击劫持保护 跨站请求伪造 CSRF 保护 登录加密 安全中间件 国际化和本地化 Django 提供了一个...
spring security 参考手册中文版
02-01
11.1安全测试设置 98 11.2 @WithMockUser 98 11.3 @WithAnonymousUser 100 11.4 @用户详细信息 101 11.5 @WithSecurityContext 102 11.6测试元注释 104 12. Spring MVC测试集成 104 12.1设置MockMvc和Spring ...
物资仓库的JSP源码
05-19
5.查看web-inf下面的classes\ckstudio\db\faq.class的最后修改时间是否为您刚才修改的时间,如果是,那么修改成功,否则,您需要对 build.bat 、web-inf文件夹和src文件夹作位置的调整(web-inf在网站根目录下,和...
4种常见的鉴权方式及说明
daobuxinzi的博客
02-09 4950
一、什么是鉴权 鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。 为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的
php 跳转到指定url_url跳转漏洞原理及绕过方式
weixin_39759989的博客
12-06 817
注:本文仅供学习参考0x01 url跳转原理及利用0x02 url跳转bypass0x03 url跳转修复0x01 url跳转原理及利用先走个流程说些废话,url重定向漏洞也称url任意跳转漏洞,网站信任了用户的输入导致恶意攻击,url重定向主要用来钓鱼,比如url跳转中最常见的跳转在登陆口,支付口,也就是一旦登陆将会跳转任意自己构造的网站,如果设置成自己的url则会造成钓鱼。来看个最典...
全网最全,Web测试点详细整理(测试场景举例+常见问题分析)
m0_70102063的博客
06-20 2640
Web测试检查表功能测试、接口测试、性能测试、安全测试、兼容性测试1、功能测试测试网页中的所有链接、数据库连接、网页中用于提交或从用户处获取信息的表单、Cookie等。链接:外链。内部链接。同一页面上跳转的链接。邮件 孤立页;表单:每个字段及默认值。错误的输入的处理 可选和必选域;Cookie测试:在写入用户机器之前,测试Cookie是否已经加密。如果你正在测试会话cookie(即会话结束后过期的cookie),请检查会话结束后的登录会话和用户统计。通过删除cookie来检查对应用安全的影响。
2023Web安全面试题大全(附答案详解)看完稳了
m0_61869253的博客
06-24 788
1.如何分辨base64长度一定会被4整除很多都以等号结尾(为了凑齐所以结尾用等号),当然也存在没有等号的base64仅有 英文大小写、数字、+ /base64不算加密,仅仅是一门编码2.如何分辨MD5 //(特点)一般是固定长度32位(也有16位) // 16 位实际上是从 32 位字符串中,取中间的第 9 位到第 24 位的部分容易加密细微偏差得到最终的值差距很大md5加密是一种不可逆的加密算法 //不过貌似我国的王小云院士通过碰撞算法破解了。
WEB功能测试常见问题/常见测试问题汇总/通用测试用例/常见功能点总结
bingtanggululu的博客
04-11 157
WEB功能测试常见问题/常见测试问题汇总/通用测试用例
安全测试
jffhy2017的博客
01-16 2375
测试类型:应用程序级别测试,基础结构测试 威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置 1.sql盲注; 风险:可能会查看、修改或删除数据库条目和表; 原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击; 威胁分类:sql盲注 测试类型:应用程序级别测试 2.使用sql注入的认证旁路 风险
(六)安全测试基础:软件安全常见问题及验证方法
gzytester的博客
03-11 1390
常见安全问题整理 SQL注入 跨站脚本(XSS) 信息泄露 跨站请求伪造(CSRF) 文件任意上传 越权操作 失效的身份认证和会话管理 提交请求重复 未验证的重定向和转发 网页脚本错误 SQL注入 SQL 注入又称为 SQL Injection,又会简写为 SQLi。 那什么是 SQL 注入? SQL 注入通常出现在网站的页面中有提交表单之处,而这些表单的提交会涉及到数据库的查询等一些操作,此时攻击者使用 SQL 的一些命令上的技巧来获取到敏感的数据,甚至是获取到 we..
web安全原理分析与实践》
blalaa的博客
08-27 624
web安全原理分析与实践》–SQL注入漏洞思考题 1、SQL注入的原理是什么? 攻击者通过浏览器等将恶意SQL语句插入到网站参数中,而网站应用程序未对其过滤,将SQL语句执行,从而获得数据库敏感数据等。 2、SQL注入有几种分类? 按数据类型分:数字型注入 、字符型注入 按服务器返回信息分:报错注入 、盲注 按Mysql数据库分:联合查询注入 、bool注入、sleep注入、宽字节注入、floor注入、updatexml注入、extractvalue注入 其中 bool注入、sleep注入属于盲注 flo
jquery faq
最新发布
11-23
以下是一个基于jQuery toggle事件实现的FAQ列表页的示例代码: HTML代码: ```html <div class="faq"> <h3 class="faq-title">问题1 <div class="faq-content"> 问题1的答案 <h3 class="faq-title">问题2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值