【学习】Web安全测试需要考虑哪些情形

一、数据加密

某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登录密码、信用卡信息等。例如,在登录某银行网站时,该网站必须支持SSL协议,通过浏览器访问该网站时,地址栏的http变成https,建立https连接。这相当于在HTTP与TCP之间增加了一层加密——SSL协议。SSL是利用公开密钥/私有密钥的加密技术(RSA),建立用户与服务器之间的加密通信,确保所传递信息的安全性。数据加密的安全性还包括加密的算法、密钥的安全性。

二、登录或身份验证

一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登录测试的时候,需要考虑输人的密码是否大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者件需要登录后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等,并区分公共访问和受限访问,受限访问的资源。

三、输入验证

Web页面有很多表单提交,实际每个输入域都可能是一个潜在的风险,黑客可以利用文字输入框,将攻击性的脚本输入进去,提交给服务器处理,来攻击服务器。有时,也可以在输入域提交一些危害性的脚本,提交上去,隐含到某个页面上,如某个文件的下载链。当另外一个用户单击链接时,就可以调用相应的脚本来读取该用户硬盘的数据或用户名/口令,发送出去,类似于木马病毒。所以,在进行Web安全性测试时,每个输入域都需要用标准的机制验证,长度、数据类型等符合设定要求,不允许输人JavaScript代码,包括验证从数据中检索的数据、传递到组件或Web服务的参数等。

四、SQL注入

从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取必要的数据库信息,然后基于这些信息,可以注入某些参数,绕过程序的保护,针对数据库服务器进行攻击。例如,在原有URL地址后面加一个恒成立的条件(如or 1=1或or user>0),这样,可以绕过系统的保护,对数据库进行操作。

五、超时限制

Web应用系统一般会设定“超时”限制,当用户长时间(如15min)不做任何操作时,需要重新登录才能打开其他页面。会话(Session)的安全性还包括交换会话标识符、会话存储状态等的安全性。

六、目录

Web的目录安全也是不容忽视的,如果Web程序或Web服务器的处理不适当,可以通过简单的URL替换和推测,使整个Web目录暴露出来,带来严重的安全隐患。可以采用某些方法将这种隐患降低到最小程度,如每个目录下都存在index.htm,以及严格设定Web服务器的目录访问权限。

七、操作留痕

为了保证Web应用系统的安全性,日志文件是至关重要的,需要测试相关信息是否写进了日志文件,是否可追踪。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/771066.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

中国中药有限公司邀您到场参观2024燕窝滋补品展

参展企业介绍 中国中药有限公司是中国医药集团有限公司(简称“国药集团”)的全资子公司,是国药集团中药产业板块的核心投资平台,也是中药一类新药、中药科技进步一等奖、中药保密品种——“人工麝香”全国总代理。 公司经营范围…

Python装饰器深度解析:提升代码效率与可读性的实战指南

Python装饰器深度解析:提升代码效率与可读性的实战指南 摘要装饰器简介定义及基本用途装饰器在Python中的角色 装饰器的工作原理Python函数的运行时特性首个装饰器示例:简单函数计时装饰器的执行流程解析 使用装饰器增强函数功能编写可重用的日志记录装饰…

2024可以搜索夸克网盘的方法

截止2024可以搜索夸克网盘的方法 6miu盘搜 6miu盘搜是一个强大的网盘搜索工具,它汇集了多个网盘平台的资源,包括百度网盘、163网盘、金山快盘等,可以帮助用户快速找到所需的资料。6miu盘搜的一个显著特点是它的资源更新速度快,可以搜索到最新的资源。此外,6miu盘搜的界面清爽…

AI论文速读 | 具有时间动态的路网语义增强表示学习

论文标题: Semantic-Enhanced Representation Learning for Road Networks with Temporal Dynamics 作者: Yile Chen(陈亦乐) ; Xiucheng Li(李修成); Gao Cong(丛高) ; Zhifeng Ba…

web前端性能优化【多年工作经验总结,一举拿下】

浏览器方面: 减少HTTP请求 HTTP 请求是指客户端(例如浏览器)向服务器发出的请求消息,用于获取特定资源或执行特定操作 为什么能够优化性能? 减少网络延迟:每次发起HTTP请求都需要经过网络传输&#xff…

掌控未来,运维无界——IT设备一网统管的智能监控运维时代

在当今这个信息化、智能化的时代,企业对于IT设备的依赖程度日益加深。确保这些设备的稳定运行,对于企业的正常运营至关重要。为此,一网统管的智能监控运维系统应运而生,它以其全面、精准的设备监控和数据分析能力,为企…

openlayers 入门教程(五):sources 篇

还是大剑师兰特:曾是美国某知名大学计算机专业研究生,现为航空航海领域高级前端工程师;CSDN知名博主,GIS领域优质创作者,深耕openlayers、leaflet、mapbox、cesium,canvas,webgl,ech…

利用云手机技术,开拓海外社交市场

近年来,随着科技的不断进步,云手机技术逐渐在海外社交营销领域崭露头角。其灵活性、成本效益和全球性特征使其成为海外社交营销的利器。那么,究竟云手机在海外社交营销中扮演了怎样的角色呢? 首先,云手机技术能够消除地…

UE4 根据任意多个点,生成最近的线条

1.计算所有线条的组合 2.Clear0宏:清除掉数组Distance0的值。注意这里是设置成最大值,而不是使用Clear! 3.清除掉数组中的最小值,避免重复生成相同长度的线条。注意这里是设置成最大值,而不是使用Clear! …

C++笔记之memmove函数(可重叠)

C++笔记之memmove函数(可重叠) —— 杭州 2024-03-25 夜 code review! 文章目录 C++笔记之memmove函数(可重叠)1.《C/C++函数与算法速查宝典》:memmove 函数─拷贝n 个字节到数组中(可重叠)2.代码示例3.对比memcpy4.源和目标内存区域重叠时,memcpy的表现5.《C语言程序设计…

接口关联和requests库

一、接口关联 postman的接口 postman的接口关联配置:js代码,重点在于思路。 // 定义jsonData这个变量 接受登录接口的返回结果 var jsonData JSON.parse(responseBody); // 从返回结果里提取token/id值,并赋值给token/id变量值作为环境变…

如何添加随机种子保证代码每次复现的一致性?

如何添加随机种子保证代码每次复现的一致性? 在main()程序中首先设定随机种子: def set_seed(seed42):os.environ[PYTHONHASHSEED] str(seed)random.seed(seed)np.random.seed(seed)torch.manual_seed(seed)torch.cuda.manual_seed(seed)torch.backends…

深入了解Flutter中StreamController的属性、方法及多种场景使用示例

在Flutter应用程序中,StreamController是一个非常有用的工具,用于管理数据流。它提供了丰富的属性和方法,可以让我们更加灵活地创建、操作和监听数据流。在本文中,我们将深入探讨StreamController的属性、方法,并提供多…

Spark基于DPU Snappy压缩算法的异构加速方案

一、总体介绍 1.1 背景介绍 Apache Spark是专为大规模数据计算而设计的快速通用的计算引擎,是一种与 Hadoop 相似的开源集群计算环境,但是两者之间还存在一些不同之处,这些不同之处使 Spark 在某些工作负载方面表现得更加优越。换句话说&am…

Java毕业设计 基于SSM网上二手书店系统

Java毕业设计 基于SSM网上二手书店系统 SSM jsp 网上二手书店系统 功能介绍 用户:首页 图片轮播 图书查询 图书分类显示 友情链接 登录 注册 图书信息 图片详情 评价信息 加入购物车 资讯信息 资讯详情 个人中心 个人信息 修改密码 意见信息 图书收藏 已经付款 邮…

数据仓库的魅力及其在企业中的应用实践

数据仓库,这一创新性的概念来自于比尔恩门,从1980年代末提出以来,便凭借其独特的架构设计和强大的数据处理能力,在全球商业领域中掀起了一场革命。它不仅是解决企业海量数据存储和查询需求的关键技术,更是推动企业实现…

WINDOWS设置代理链chain

用于本地多网卡。主要用于虚拟机多个串联 新建一个 type 为 relay 的 proxy-group,在 proxies 按照顺序输入代理服务器节点。 proxies:- name: relay-servertype: socks5server: serverport: 1080 proxy-groups:- name: relay⏭type: relayproxies:- relay-server…

rel=“dns-prefetch“和rel=“preconnect“ 结合使用,以及link属性的详细介绍

使用 dns-prefetch DNS-prefetch 尝试在请求资源之前解析域名。这可能是后面要加载的文件,也可能是用户尝试打开的链接目标。 为什么要使用 dns-prefetch? 当浏览器从(第三方)服务器请求资源时,必须先将该跨源域名解…

从人工智能入门到理解ChatGPT的原理与架构的第一天(First)(含机器学习特征工程详解)

目录 一.ChatGPT的发展历程 二.Attention is all you need 三.对于GPT-4的智能水平评估 四.大语言模型的技术演化 1.从符号主义到连接主义 2.特征工程 2.1数据探索 2.2数据清洗 2.3数据预处理 2.3.1无量纲化 2.3.1.1标准化 2.3.1.2区间缩放法 2.3.1.3标准化与归一…

李宏毅深度强化学习导论——策略梯度

引言 这是李宏毅老师深度强化学习视频的学习笔记,主要介绍策略梯度的概念,在上篇文章的末尾从交叉熵开始引入策略梯度。 如何控制你的智能体 上篇文章末尾我们提到了两个问题: 如何定义这些分数 A A A,即定义奖励机制&#xff…