web测试安全性常见问题

                

一、             登录账号明文传输

1、  问题一:登录账号密码或者修改密码明文传输

现象:目前物流对内的java系统基本上都是明文传输用户名和密码的

使用火狐自带工具-开发者-网络,或者httpwatch工具很容易获取到信息

打开工具后进行被测系统正常登录软件可自动获取信息

建议:

登录使用加密传输,一般的登录都采用https方式加密协议

2、  问题二:在后台日志中明文打印出了登录的账号和密码

现象:

建议:在日志中比较敏感的信息比如密码都采用*转换显示

二、             SQL注入

1、  问题一:部分查询输入存在SQL注入风险

所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

现象一:

原登录页面的sql:

SELECT COUNT(*) FROM Login WHERE UserName='admin' AND Password='123456'

现在登录时输入:’admin’--

SELECT COUNT(*) FROM Login WHERE UserName='admin'-- Password='123'

因为UserName值中输入了“--”注释符,后面语句被省略而登录成功。(常常的手法:前面加上'; ' (分号,用于结束前一条语句),后边加上'--' (用于注释后边的语句))

现象二:在查询语句中输入:’ or ‘1=1  看是否会查询出所有的记录

建议:开发不要直接写静态sql语句进行查询,需要使用动态拼接SQL,对于web测试需要对查询部位进行SQL注入测试。

注:参数化查询原理:在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具有损的指令,也不会被数据库所运行。

三、             XSS跨站点攻击

1、  问题一:部分系统存在提交表单时输入html代码和JS代码可在服务器执行的情况

跨站脚本攻击(Cross Site Scripting)恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的,如:

<input>

<script>alert('xss')</script>

现象:文本框中输入<input>或<script>alert('xss')</script>

提交后<input>和<script>alert('xss')</script>作为代码执行了出现了输入框,而不是作为字符串存储

建议:

原则:不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中,还有其他方式

1)只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。

2)对数据进行Html Encode 处理

3)过滤或移除或转义特殊的Html标签, 例如: <script>, <iframe> , &lt; for <, &gt; for >, &quot for

四、             跨站伪造

1、  问题一:构造POST请求进行请求可提交到数据库中

是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,也是可以从第三方网站提交的

现象:如下脚步用户获取到请求地址后,可以自己构造请求消息请求参数和值,通过浏览器执行后也可以提交到数据库那说明就是存在跨站伪造

建议:

Token验证

在每个HTTP请求里附加一部分信息是一个防御CSRF攻击的很好的方法,因为这样可以判断请求是否已经授权。这个“验证token”应该不能轻易的被未登录的用户猜测出来。如果请求里面没有这个验证token或者token不能匹配的话,服务器应该拒绝这个请求。

五、             目前普遍现象Java层未做校验或未做全部校验

一般来说JS的校验都是一种辅助,实际校验都要放在服务器,如果不做JAVA校验就可能会存在

1)  使用WebSarab等代理工具绕过页面校验,直接篡改数据后往数据库中插入数据;

2)  html层的校验不能防止用户伪造请求 ,如上面的token校验就是其中一个例子;

3)  按ctrl+f5强制刷新提交,出现重复提交

4)  js需要浏览器下载,如果浏览器下载JS失败,按钮未灰化用户可以反复点击,可出现重复提交,那还得靠服务器端的重复提交来保证

六、             借用WebSarab工具来绕过客户端的校验,验证是否进行了服务校验

七、             借用AppScan工具来自动扫描安全性问题

web测试安全性常见问题的更多相关文章

  1. Web测试介绍2一 安全测试

            安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程. 主要安全需求包括: (i) 认证 Authent ...

  2. Web测试的常用测试用例与知识

    1. Web测试中关于登录的测试 2. 搜索功能测试用例设计 3. 翻页功能测试用例 4. 输入框的测试 5. Web测试的常用的检查点 6. 用户及权限管理功能常规测试方法 7. Web测试之兼容性 ...

  3. Web测试中常见分享问题

         Web测试中,由于开发通常指注重完成H5页面的逻辑功能,对各种系统.浏览器等考虑不周,同时Android端各类机型碎片化,容易产生兼容性问题,这其中以分享类型为最. 本文简单分析总结一些测试 ...

  4. web测试常用的用例及知识

      1.      Web测试中关于登录的测试... 1 2.      搜索功能测试用例设计... 2 3.      翻页功能测试用例... 3 4.      输入框的测试... 5 5.    ...

  5. Web 测试经验总结

    Web功能测试常用方法 1.页面链接检查每一个链接是否都有对应的页面,并且页面之间切换正确: 2.相关性检查删除/增加一项会不会对其他项产生影响,如果产生影响,这些影响是否都正确. 3.检查按钮的功能 ...

  6. 【转】web测试内容及工具经典总结

    基于Web的系统测试在基于Web的系统开发中,如果缺乏严格的过程,我们在开发.发布.实施和维护Web的过程中,可能就会碰到一些严重的问题,失败的可能性很大.而且,随着基于Web的系统变得越来越复杂,一 ...

  7. 软件测试之WEB测试经典总结

    在Web工程过程中,基于Web系统的测试.确认和验收是一项重要而富有挑战性的工作.基于Web的系统测试与传统的软件测试不同,它不但需要检查和验证是否按照设计的要求运行,而且还要测试系统在不同用户的浏览 ...

  8. web测试方面的知识

    web测试 软件测试体系架构设计 一.体系架构 1.C/S:客户端+服务器端,如QQ.单机版记事本.office等,所用语言:VB.C++.C.C#.JAVA.PB.D…等数组语言,C和S都是自己测, ...

  9. [转载]软件测试之Web测试经典总结

    转载自:软件测试之Web测试经典总结 基于Web的系统测试在基于Web的系统开发中,如果缺乏严格的过程,我们在开发.发布.实施和维护Web的过程中,可能就会碰到一些严重的问题,失败的可能性很大.而且, ...

随机推荐

  1. 使用百度地图API产生指定范围的随机点

    直接上代码: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> ...

  2. sql server 常见问题笔记

    1.关于复制类型 快照发布:发布服务器按预定的时间间隔向订阅服务器发送已发布数据的快照. 事务发布:在订阅服务器收到已发布数据的初始快照后,发布服务器将事务流式传输到订阅服务器. 对等发布:对等发布支 ...

  3. 【HOW】如何配置SharePoint传入/传出电子邮件设置

    SharePoint 2010的传入和传出邮件配置选项都较简单,但由于需要DNS及Exchange等服务器互相配合,所以要正确配置并不容易. 在微软的官方文档中详细说明了配置步骤:配置传入电子邮件:h ...

  4. web页面设计基本原则

    1.对齐. 不对齐看起来糟糕极了.简直一片混乱,会给人一种很不专业的印象.对齐让页面更漂亮一些,更重要的是便于更好的传达信息. 2.去掉糟糕的边框.边框会产生一种分离感. 3.亲密性. 元素相互靠近看 ...

  5. Django RedirectView

    RedirectView作用是重定向一个指定,给定的Url.这个给定的Url可能包含有字典风格的字符串,因为关键字(词)会被改变,所以从这个Url中捕获的参数可能也会被修改,例如,Url中的“%”应该 ...

  6. 【转】apache DateFormatUtils 与 DateUtils 的使用

    在Apache Commons项目的Lang里面,有两个类:DateUtils和DateFormatUtils,专门用于处理时间日期转换.它们在 org.apache.commons.lang.tim ...

  7. openscales实现漂亮的冒泡效果

    使用的时候openscales 默认的冒泡效果确实有点简陋,想实现那种看着比较舒服的效果,只能自己定义了.参考现有的openscales实现的方式,它是通过控件的状态实现的,每个状态中使用Path绘制 ...

  8. Eclipse 复制代码保留原格式

    当代码中有折叠代码时,无法复制格式,觉得方法有2: 1.设置取消折叠 如图所示,取消勾选"Enable folding"即可,该方法一劳永逸,缺点是以后编码显示不够简洁. 2.点开 ...

  9. jsonp与JAVA的配合使用

    一.客户端 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w ...

  10. JAVA数据压缩简单测试

    本段代码只是做了简单的测试,看是否可行,此处仅作笔记.适应用场合,比如数据库,数据缓存.压缩解压肯定是有资源消耗的! 当数据小于500byte时就没有压缩的必要了 @Test public void ...