跨入安全的殿堂-读《Web入侵安全测试与对策》感悟

发表于:2015-6-09 11:44

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:hyddd(陈曦明)    来源:51Testing软件测试网采编

  前言
  最近读完了《Web入侵安全测试与对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。
  现在Web攻击方式日新月异,但基本思想很多都源于下面的攻击方式,比如,下面提到的“SQL注入”和“命令注入”就是注入思想的不同体现。另外,本文的目的不在于“详细介绍每种提到的攻击技术”,而在于“让大家知道要程序安全,我们起码要了解哪些东西”
  Web入侵攻击方式
  一.客户端试探性攻击
  1. 查找敏感信息
  (1)HTML代码中的注释,隐藏域,及其他敏感信息。
  现在很多工具可以帮助你分析网页,比如:PageSpy,Firebug等等。
  (2)服务端出错信息。比如:
  (3)程序出错提示。
  经典例子是网站登陆,登陆的时候需要输入账号&密码,如果服务器对于错误账号返回一个错误信息“该账号不存在”,对于错误的密码返回另外一个正确信息“账号密码错误”。那么攻击者就可以根据返回值猜测用户名,并继续下一步的攻击。
  2.猜测文件与目录
  如果你有过把一个论坛的Access数据库下载下来的经历,那你应该会对这种攻击方式记忆犹新。另外,如果访问配置文件没有好好保护,后果也一样严重。
  3.绕过客户端的输入限制/验证(客户端的数据不可信)
  绕过客户端的验证或者限制有很多方式,直接把Web页面的JavaScript脚本去掉,另外一种方式是,拦截发送包,直接把它改掉。
  4.修改Cookie
  你在大学图书馆的机器上有发现Cookie文件吗?你是否想过把它的过期时间修改便可继续使用呢?
  网上有很多关于Cookie的文章,书中也推荐了一个外国站点:Dutchduck。,有兴趣可以了解一下。
21/212>
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号