安全測(cè)試包括哪些方面?

發(fā)布時(shí)間:2021-08-02

安全測(cè)試包括哪些方面?
 
1.xss跨站腳本攻擊
數(shù)據(jù)輸入?yún)?shù)中輸入簡(jiǎn)單的js語(yǔ)句看會(huì)不會(huì)執(zhí)行
常見的惡意JS腳本有獲取用戶的cookie、或者是鍵盤鉤子來(lái)記錄用戶的鍵盤輸入
 
2.CSRF跨站請(qǐng)求偽造
是一種劫持受信任用戶向服務(wù)器發(fā)送非預(yù)期請(qǐng)求的攻擊方式
通常情況下,CSRF 攻擊是攻擊者借助受害者的 Cookie 騙取服務(wù)器的信任,可以在受害者毫不知情的情況下以受害者名義偽造請(qǐng)求發(fā)送給受攻擊服務(wù)器,從而在并未授權(quán)的情況下執(zhí)行在權(quán)限保護(hù)之下的操作。
目前使用一般使用驗(yàn)證碼來(lái)避免
 
3.sql 注入
在查詢參數(shù)中,輸入正確的查詢條件1=1,其他SQL,查看返回結(jié)果
目前這種安全性問(wèn)題已經(jīng)絕跡了,除非是lowb寫的代碼
 
4.登錄認(rèn)證
抓包是否存在明文的用戶名和密碼
 
5.代碼注釋
源代碼注釋部分是否含有敏感信息
 
6.鎖定機(jī)制
多次登錄錯(cuò)誤,對(duì)賬號(hào)進(jìn)行臨時(shí)鎖定
 
7.驗(yàn)證碼
驗(yàn)證碼需一致方可通過(guò)驗(yàn)證
 
8.修改密碼
需輸入舊密碼或者發(fā)送短信驗(yàn)證
 
9.默認(rèn)賬戶名稱
默認(rèn)賬戶名稱密碼,設(shè)置復(fù)雜些
 
10.錯(cuò)誤頁(yè)面跳轉(zhuǎn)提示
跳轉(zhuǎn)的提示是否出現(xiàn)代碼等錯(cuò)誤,捕獲異常跳轉(zhuǎn)至同一錯(cuò)誤頁(yè)面,避免對(duì)外泄露詳細(xì)錯(cuò)誤信息
 
11.目錄權(quán)限
a能夠看到a上級(jí)的信息
 
推薦閱讀:
 
本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問(wèn)題,請(qǐng)權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。
滬ICP備07036474號(hào) 2003-2024 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd.
微信
咨詢

添加客服微信 歡迎咨詢測(cè)試工具和測(cè)試服務(wù)

微信客服
問(wèn)題
反饋
產(chǎn)品
畫冊(cè)

掃描二維碼下載澤眾軟件企業(yè)宣傳冊(cè)

產(chǎn)品畫冊(cè)
返回
頂部

方案咨詢

×
提交信息

電話咨詢,400-035-7887,安排專業(yè)技術(shù)售前給您解答(產(chǎn)品試用、技術(shù)交流、服務(wù)咨詢和商務(wù)報(bào)價(jià))。

您的信息已成功提交!

我們的客服人員稍后會(huì)與您聯(lián)系