20 web安全性測試用例1

web安全性測試用例? http://www.cnblogs.com/qmfsun/p/3724406.html
建立整體的威脅模型,測試溢出漏洞厢呵、信息泄漏窝撵、錯誤處理、SQL注入襟铭、身份驗證和授權(quán)錯誤.
?

什么是XSS碌奉? XSS的全稱是Cross Site Script(跨站點腳本) XSS的原理很簡單,即進行腳本注入寒砖,URL執(zhí)行時即把此腳本進行了執(zhí)行赐劣,一般都是JavaScript腳本,如alter(“abc”) 在URL中進行XSS注入哩都,也就是把URL中的參數(shù)改成JS腳本魁兼。

(4) URL參數(shù)中進行SQL 注入

什么是SQL注入? SQL注入全稱是SQL Injection 漠嵌,當應用程序使用輸入內(nèi)容來構(gòu)造動態(tài)sql語句以訪問數(shù)據(jù)庫時咐汞,會發(fā)生sql注入攻擊,如查詢儒鹿、插入數(shù)據(jù)時化撕。

測試方法: URL中寫入SQL注入語句,看是否被執(zhí)行约炎,如:’or 1=1;shutdown

一般情況下要進行SQL注入攻擊植阴,需要對數(shù)據(jù)庫類型、表名圾浅、判斷邏輯掠手、查詢語句等比較清楚才能夠?qū)懗鲇行У腟QL注入語句。

(5) ...

7. 表單提交安全

(1) 表單中注入XSS腳本

測試方法:即在表單填寫框中直接注入JS腳本 如在表單中輸入XSS腳本贱傀,程序是不應該讓腳本執(zhí)行的惨撇。

(2) 表單中注入SQL 腳本

(3) ...

8. 上傳文件安全

分析:上傳文件最好要有格式的限制;上傳文件還要有大小的限制府寒。

9. Email Header Injection(郵件標頭注入)

Email Header Injection:如果表單用于發(fā)送email, 表單中可能包括“subject”輸入項(郵件標題)魁衙, 我們要驗證subject中應能escape掉“\n”標識报腔。

因為“\n”是新行,如果在subject中輸入“hello\ncc:spamvictim@example.com”剖淀,可能會形成以下

Subject: hello

cc: spamvictim@example.com

如果允許用戶使用這樣的subject纯蛾,那他可能會給利用這個缺陷通過我們的平臺給其它用 戶發(fā)送垃圾郵件。

10. 不恰當?shù)漠惓L幚?/p>

分析:程序在拋出異常的時候給出了比較詳細的內(nèi)部錯誤信息纵隔,暴露了不應該顯示的執(zhí)行細節(jié)翻诉,網(wǎng)站存在潛在漏洞;

11. ...

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末捌刮,一起剝皮案震驚了整個濱河市碰煌,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌绅作,老刑警劉巖芦圾,帶你破解...
    沈念sama閱讀 211,817評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異俄认,居然都是意外死亡个少,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評論 3 385
  • 文/潘曉璐 我一進店門眯杏,熙熙樓的掌柜王于貴愁眉苦臉地迎上來夜焦,“玉大人,你說我怎么就攤上這事岂贩∶>” “怎么了?”我有些...
    開封第一講書人閱讀 157,354評論 0 348
  • 文/不壞的土叔 我叫張陵河闰,是天一觀的道長科平。 經(jīng)常有香客問我,道長姜性,這世上最難降的妖魔是什么瞪慧? 我笑而不...
    開封第一講書人閱讀 56,498評論 1 284
  • 正文 為了忘掉前任,我火速辦了婚禮部念,結(jié)果婚禮上弃酌,老公的妹妹穿的比我還像新娘。我一直安慰自己儡炼,他們只是感情好妓湘,可當我...
    茶點故事閱讀 65,600評論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著乌询,像睡著了一般榜贴。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上妹田,一...
    開封第一講書人閱讀 49,829評論 1 290
  • 那天唬党,我揣著相機與錄音鹃共,去河邊找鬼。 笑死驶拱,一個胖子當著我的面吹牛霜浴,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播蓝纲,決...
    沈念sama閱讀 38,979評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼阴孟,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了税迷?” 一聲冷哼從身側(cè)響起永丝,我...
    開封第一講書人閱讀 37,722評論 0 266
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎翁狐,沒想到半個月后类溢,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體凌蔬,經(jīng)...
    沈念sama閱讀 44,189評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡露懒,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,519評論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了砂心。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片懈词。...
    茶點故事閱讀 38,654評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖辩诞,靈堂內(nèi)的尸體忽然破棺而出坎弯,到底是詐尸還是另有隱情,我是刑警寧澤译暂,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布抠忘,位于F島的核電站,受9級特大地震影響外永,放射性物質(zhì)發(fā)生泄漏崎脉。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,940評論 3 313
  • 文/蒙蒙 一伯顶、第九天 我趴在偏房一處隱蔽的房頂上張望囚灼。 院中可真熱鬧,春花似錦祭衩、人聲如沸灶体。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,762評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽蝎抽。三九已至,卻和暖如春路克,著一層夾襖步出監(jiān)牢的瞬間樟结,已是汗流浹背锥涕。 一陣腳步聲響...
    開封第一講書人閱讀 31,993評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留狭吼,地道東北人层坠。 一個月前我還...
    沈念sama閱讀 46,382評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像刁笙,于是被迫代替她去往敵國和親破花。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 43,543評論 2 349

推薦閱讀更多精彩內(nèi)容

  • WEB的安全性測試主要從以下方面考慮: 1.SQL Injection(SQL注入) (1)如何進行SQL注入測試...
    天天向上的小M閱讀 856評論 0 1
  • 一疲吸、軟件的安全性測試 軟件安全性測試包括程序座每、網(wǎng)絡、數(shù)據(jù)庫安全性測試摘悴。根據(jù)系統(tǒng)安全指標不同測試策略也不同峭梳。 ...
    Root_123閱讀 4,374評論 0 2
  • ??無論是一個簡單的博客,還是大型的社交網(wǎng)站蹂喻,Web安全都應該放在首位葱椭。Web安全問題涉及廣泛,在這里介紹其中常見...
    i_1312閱讀 265評論 0 0
  • 1口四、不安全的隨機數(shù)生成孵运,在CSRF TOKEN生成、password reset token生成等蔓彩,會造成toke...
    nightmare丿閱讀 3,680評論 0 1
  • 漏洞挖掘與利用 測試環(huán)境的搭建 引言 為什么要搭建本地測試環(huán)境治笨?我想下面的東西能夠回答你的疑惑。 第二百八十五條 ...
    作業(yè)沒寫完閱讀 3,177評論 0 4