溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
描述:判斷密碼是不是容易被盜取
操作:可以通過瀏覽器查看是否加密,并將加密作為獨立請求進行測試驗。 此外曉風后臺的登陸沒有手機驗證碼進行驗證功能,我們目前系統增加了這塊驗證使得系統登陸更加安全。
描述:檢測Web網站是否存在SQL注入漏洞,如果存在該漏洞,***者對注入點進行注入***,可輕易獲得網站的后臺管理權限,甚至網站服務器的管理權限。
操作:下載acunetix webvulnerability scanner 進行掃描檢測。
描述:檢測Web網站的上傳功能是否存在上傳漏洞,如果存在此漏洞,***者可直接利用該漏洞上傳***獲得WebShell。
操作:檢測前臺是否有上傳的地方,并且檢查是否可以上傳.asp,.exe甚至其他shell腳步文件
描述:如何很多邏輯的驗證或者計算只是在表單頁面進行,那么***者可以通過繞過頁面直接對后臺進行數據提交
操作:開發人員需要檢測頁面的邏輯驗證是否在后臺都具備相應的操作,并養成好的開發習慣。
描述:直接獲取網站中某個URL地址,進行瀏覽器上的訪問。
操作:直接拷貝幾個帶有參數的URL放入到瀏覽器上進行驗證,系統開發上考慮一下是不是攔截有遺漏,特別是我們自己開發的部分以及用于測試的頁面。
描述:系統的個人資料應該受到保護,有些系統通過id來查找相應用戶資料。
操作:查看系統中是否存在通過id為參數的請求,并隨便修改id的數字進行url請求
描述:檢測Web網站是否存在XSS跨站腳本漏洞,如果存在該漏洞,網站可能遭受Cookie欺騙、網頁掛馬等***。
操作:檢測所有輸入框是否可以輸入html的標簽,特別是腳步
描述:跨站點請求偽造***通過強制已登錄受害者的瀏覽器香目標網站發送預認證請求,然后強制受害者瀏覽器執行有利于***者的行為。
操作:在每個請求頁面請求前,自動產生隨機數加密串,后臺進行解密進行驗證。查看是否所有請求都符合這個規則。
Cookie欺騙的途徑有:
跳過瀏覽器,直接對通訊數據改寫
修改瀏覽器,讓瀏覽器從本地可以讀寫任意域名Cookie
使用簽名腳本,讓瀏覽器從本地可以讀寫任意域名Cookie
欺騙瀏覽器,讓瀏覽器獲得假的域名
操作:給cookie加一個時間戳和ip進行加密,具體可以通過查看瀏覽器的cookie,看是否是加密串。
描述:出錯或者直接敲鏈接,網站顯示出錯誤信息或者目錄,應該用404 這些的錯誤頁面來代替。
操作:檢測系統是否測試生產環境,并且檢測apache是否會顯示目錄問題,另外出錯信息都用404等錯誤頁面代替。
360網站的驗證
http://webscan.#/
http://www.cnblogs.com/lhb25/archive/2012/06/18/8-useful-and-free-web-application-security-testing-tools.html
阿里云系統自帶的一些檢測工具
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
