起航学习网

- 让每个人都能学到最前沿新知识、新技能!
起航学习网
当前位置: 起航学习网 > 短期培训 > Web前端 > 对于Web安全问题有哪些常用的测试方法?

对于Web安全问题有哪些常用的测试方法?

时间:2021-07-11 09:10:19来源:Web培训机构 作者:Web前端开发网 已有: 名学员访问该课程

前言: 今天小T要跟大家分享的文章是关于对于Web安全问题有哪些常用的测试方法?安全问题一直是我们重点关注的问题,开

今天小T要跟大家分享的文章是关于对于Web安全问题有哪些常用的测试方法?安全问题一直是我们重点关注的问题,开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。今天小T就来跟大家说一说Web安全问题有哪些常用的测试方法有哪些,让我们一起来看一看吧~

一、常见的Web安全问题

常见的Web安全问题有:

SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。

二、手动安全测试

对于手动安全测试来说:

1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;

2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;

3、在注重SQL注入的同时,一般在有输入框的地方输入

三、自动化安全问题

对于自动化安全测试来说:

测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)

1、在使用之前务必确认自己绑定的Host;

2、配置URL、开发环境、错误显示类型;

3、结果保存后可根据提示的问题类型和解决建议进行分析。

四、Web安全测试考虑测试点

Web安全测试通常要考虑的测试点:

1、输入的数据没有进行有效的控制和验证

2、用户名和密码

3、直接输入需要权限的网页地址可以访问

4、认证和会话数据作为GET的一部分来发送

5、隐藏域与CGI参数

6、上传文件没有限制

7、把数据验证寄希望于客户端的验证

8、跨站脚本(XSS)

9、注入式漏洞(SQL注入)

10、不恰当的异常处理

11、不安全的存储

12、不安全的配置管理

13、传输中的密码没有加密

14、弱密码,默认密码

15、缓冲区溢出

16、拒绝服务

五、SQL注入

SQL注入:

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.

(select * form 表 Where id=1 or 1

1 or 1是输入框输入的

这样会导致满足 id=1 或 1 的数据都查出来

而所有的数据都满足 1

这样就查出来了很多不该被查出来的数据

这就是sql注入)

以上就是小T今天为大家分享的关于对于Web安全问题有哪些常用的测试方法?的文章,希望本篇文章能够对正在从事Web相关工作的小伙伴们有所帮助。想要了解更多Web相关知识记得关注IT培训网Web前端开发培训官网。

来源: 蜻蜓 91Testing

【免责声明:本文图片及文字信息均由小T转载自网络,旨在分享提供阅读,版权归原作者所有,如有侵权请联系我们进行删除。】

Web前端开发工程师,是从事Web前端开发工作的工程师。主要进行网站的开发、优化、完善的工作。网页制作是Web 1.0时代的产物,那时网站的主要内容都是静态的,用户使用网站的行为也以浏览为主。

一位好的Web前端开发工程师在知识体系上既要有广度,又要有深度,所以很多大公司即使出高薪也很难招聘到理想的Web前端开发工程师。现在说的重点不在于讲解技术,而是更侧重于对技巧的讲解。技术非黑即白,只有对和错,而技巧则见仁见智。以前会Photoshop和Dreamweaver就可以制作网页,现在只掌握这些已经远远不够了。无论是开发难度上,还是开发方式上,现在的网页制作都更接近传统的网站后端开发,所以现在不再叫网页制作,而是叫Web前端开发。Web前端开发在产品开发环节中的作用变得越来越重要,而且需要专业的Web前端开发工程师才能做好,这方面的专业人才近两年来备受青睐。Web前端开发是一项很特殊的工作,涵盖的知识面非常广,既有具体的技术,又有抽象的理念。简单地说,它的主要职能就是把网站的界面更好地呈现给用户。

文章出自:http://qh.itpxw.cn/peixun/web/202186095.html

文章标题:对于Web安全问题有哪些常用的测试方法?



免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉

你也许会喜欢如下的文章?
(责任编辑:深圳学历教育网)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
培训学校
IT培训网 访问该机构站点 报名留言 加为好友 用户等级:注册会员 用户级别:10 机构名称:IT培训网 联 系 人:罗老师 联系电话:13783581536 联系手机:13783581536 在线客服:起航学习网客服 在 线 QQ:起航学习网客服 电子邮件: 网站域名:http://www.itpxw.cn 注册时间:2016-07-18 11:07 最后登录:2024-02-20 13:02