Web 安全测试培训

安全测试WebWeb

Himan

Web 安全测试培训

About MeID: Himan Name: Lee Xue Qing Company: http://:web security Responsibility Responsibility: Mail: winner__1@http://

Web 安全测试培训

News

Web 安全测试培训

News

Web 安全测试培训

小叮当

Web 安全测试培训

信息安全的现状

信息安全环境越来越复杂

黑客攻击越来越容易

漏洞利用速度越来越快

地下黑色产业链越来越庞大

Web 安全测试培训

地下黑客产业链

Web 安全测试培训

Web安全测试的意义

1、增强网站的健壮性

2、预防非法用户的攻击

3、保护使用者的安全

4、使非法侵入的代价超过被保护信息的价值

Web 安全测试培训

Web安全测试的方法

SQL 注入跨站脚本（XSS）失效的身份认证和会话管理不安全的直接对象引用跨站请求伪造（CSRF）安全配置错误（新）不安全的加密存储没有限制URL访问传输层保护不足未验证的重定向和转发（新）

9

Web 安全测试培训

Web安全测试的方法

地址栏关键字段加密网站地址暴库无过滤的上传功能登录信息提示提交请求防重入网页脚本错误

Web 安全测试培训

SQL 注入

Web应用程序执行来自外部包括数据库在内的恶意指令，SQL Injection与Command Injection等攻击包括在内。如果没有阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问，在Web表单中输入的内容应该保持简单，并且不应包含可被执行的代码。

Web 安全测试培训

SQL 注入

测试对象：

可以进行传参的URL

http:///news_detail_cn.asp?id=81 and 1=2http:///forum.php?archiver=1

Web 安全测试培训

XSS跨站攻击

Web应用程序直接将来自用户的执行请求送回浏览器执行，使得攻击者可截取用户的Cookie或Session数据而能假冒直接登入为合法使用者。

Web 安全测试培训

XSS跨站攻击

测试对象：

可以进行传参的URL

网页中可进行输入的表单

http:///search.php?key=<script>alert('xss')</script>http:///search.php?key=%3cscript%3ealert('xss')%3c%2fscript%3e

注：IE6 浏览器对跨站拦截不彻底！

Web 安全测试培训

失效的身份认证和会话管理 只对首次传送的Cookie加以验证，程序没有持续对Cookie中内含信息验证比对，攻击者便可修改Cookie中的重要信息，以提升权限进行网站数据存取，或是冒用他人账号取得个人私密资料。

Web 安全测试培训

失效的身份认证和会话管理测试对象：

可以进行传参的URL

提交请求页面

登录后的cookie

http:///user/home.action?sid=a04d85503e040cbc7e2fe048ff7104ce