Apakah mata pengetahuan untuk ujian keselamatan web?
Apakah itu ujian keselamatan?
Ujian keselamatan adalah untuk memberikan bukti bahawa aplikasi masih boleh memenuhi keperluannya sepenuhnya dalam menghadapi input yang bermusuhan dan berniat jahat.
a. Kami menggunakan satu set keputusan pelaksanaan kes ujian keselamatan yang gagal untuk membuktikan bahawa aplikasi web tidak memenuhi keperluan keselamatan.
b. Bagaimanakah anda melihat keperluan untuk ujian keselamatan? Ujian keselamatan lebih bergantung kepada keperluan berbanding ujian berfungsi kerana ia mempunyai lebih banyak input dan output yang mungkin untuk ditapis.
Keselamatan perisian sebenar sebenarnya merujuk kepada pengurusan risiko, iaitu, kita hanya perlu memastikan tahap keselamatan perisian memenuhi keperluan perniagaan.
Bagaimana untuk menjalankan ujian keselamatan?
Menambah kes ujian keselamatan berdasarkan serangan biasa dan kelemahan digabungkan dengan amalan sebenar ialah cara menukar ujian keselamatan menjadi bahagian mudah dan biasa dalam ujian fungsi harian.
Pilih nilai sempadan khas dengan implikasi keselamatan, serta kelas kesetaraan khas dengan implikasi keselamatan, dan integrasikan nilai ini ke dalam perancangan ujian dan proses strategi ujian kami.
Walau bagaimanapun, jika ujian keselamatan dilakukan berdasarkan ujian kefungsian, sejumlah besar kes ujian perlu ditambah. Ini bermakna dua perkara mesti dilakukan untuk menjadikannya terurus: mengecilkan fokus dan mengautomasikan ujian.
Apakah titik ujian yang biasanya dipertimbangkan dalam ujian keselamatan web?
1. Masalah: Input tidak sah
Kaedah ujian:
Jenis data (rentetan, integer, nombor nyata, dll.)
Set aksara yang dibenarkan
Minimum dan panjang maksimum
Sama ada input kosong dibenarkan
Sama ada parameter diperlukan
Sama ada pengulangan dibenarkan
Julat nilai
Nilai khusus (jenis penghitungan)
Corak Khusus (ungkapan biasa)
2. Masalah: Kawalan akses bermasalah
Kaedah ujian:
Terutamanya digunakan untuk halaman yang perlu mengesahkan identiti dan kebenaran pengguna, salin alamat URL halaman ini menutup halaman, semak sama ada anda boleh terus memasukkan alamat yang disalin
Contoh: Anda boleh melihat alamat URL dalam jurang dari satu halaman ke halaman lain Masukkan alamat secara langsung dan anda boleh melihat maklumat halaman anda sendiri
3. Pengesahan dan pengurusan sesi yang salah
Contoh: Kotak input kelas Grid, Label dan Tree view tidak disahkan dan kandungan input akan dihuraikan mengikut sintaks html Keluar
4. Limpahan penimbal
Tiada data utama disulitkan
Contoh: view-source: alamat http boleh melihat kod sumber, masukkan kata laluan pada halaman, halaman memaparkan *** * *, klik kanan dan lihat fail sumber untuk melihat kata laluan yang baru anda masukkan
5. Penafian perkhidmatan
Analisis: Penyerang boleh menjana trafik yang mencukupi daripada hos untuk menggunakan banyak program aplikasi, akhirnya melumpuhkan program dan pengimbangan beban diperlukan untuk menanganinya
6 Pengurusan konfigurasi tidak selamat
Analisis: Rentetan pautan dalam Config serta maklumat pengguna, e-mel dan maklumat storan data perlu ada. Lindungi.
Apa yang harus dilakukan oleh pengaturcara: Konfigurasikan semua mekanisme keselamatan, matikan semua perkhidmatan yang tidak digunakan, sediakan akaun kebenaran peranan, gunakan log dan makluman
Analisis: Pengguna menggunakan limpahan penimbal untuk menyebabkan kerosakan Aplikasi web tindanan, dengan menghantar kod bertulis khas ke program web, penyerang boleh membenarkan aplikasi web melaksanakan kod sewenang-wenangnya
7 Kerentanan suntikan
Contoh: halaman untuk mengesahkan log masuk pengguna ,
. Jika pernyataan sql yang digunakan ialah:
Pilih * daripada jadual A di mana nama pengguna='' + nama pengguna+'' dan lulus perkataan .....
Input SQL' atau 1=1 - Anda boleh menyerang tanpa memasukkan sebarang kata laluan
8. Pengendalian pengecualian yang tidak betul
Analisis: Program ini memberikan mesej ralat dalaman yang lebih terperinci apabila ia melemparkan pengecualian , mendedahkan butiran pelaksanaan yang tidak sepatutnya dipaparkan. tapak web mempunyai potensi kelemahan
9. Storan tidak selamat
Analisis: Senarai akaun, sistem tidak seharusnya membenarkan pengguna menyemak imbas ke semua akaun di tapak web, jika Senarai pengguna diperlukan, dan adalah disyorkan untuk menggunakan beberapa bentuk nama samaran (nama skrin) untuk menunjuk ke akaun sebenar.
Cache penyemak imbas: Data pengesahan dan sesi tidak boleh dihantar sebagai sebahagian daripada GET, POST harus digunakan
10. Masalah: Penskripan silang tapak (XSS)
Analisis : Penyerang menggunakan skrip merentas tapak untuk menghantar kod hasad kepada pengguna yang tidak curiga dan mencuri sebarang data pada mesin mereka
Kaedah ujian:
Teg HTML: <…>…
Aksara melarikan diri: &(&);<(<);>(>);
Bahasa skrip:
< bahasa >
Panjang minimum dan maksimumSama ada input kosong dibenarkanAtas ialah kandungan terperinci Apakah mata pengetahuan untuk ujian keselamatan web?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1382
52
Cara menggunakan python+Flask untuk merealisasikan kemas kini masa nyata dan paparan log pada halaman web
May 17, 2023 am 11:07 AM
1. Log keluaran ke fail menggunakan modul: pengelogan boleh menjana log peringkat tersuai, dan boleh mengeluarkan log ke laluan yang ditentukan Tahap log: nyahpepijat (log nyahpepijat) = 5) {clearTimeout (time) // Jika semua keputusan diperolehi 10. masa berturut-turut kosong Log mengosongkan tugas berjadual}return}if(data.log_type==2){//Jika log baharu diperolehi untuk(i=0;i
Cara menggunakan kedi pelayan web Nginx
May 30, 2023 pm 12:19 PM
Pengenalan kepada Caddy Caddy ialah pelayan web yang berkuasa dan berskala tinggi yang pada masa ini mempunyai 38K+ bintang di Github. Caddy ditulis dalam bahasa Go dan boleh digunakan untuk pengehosan sumber statik dan proksi terbalik. Caddy mempunyai ciri-ciri utama berikut: Berbanding dengan konfigurasi kompleks Nginx, konfigurasi Caddyfile asalnya adalah sangat mudah secara dinamik melalui AdminAPI yang disediakannya, ia menyokong konfigurasi HTTPS automatik secara lalai, dan boleh memohon sijil HTTPS secara automatik; dan konfigurasikannya; ia boleh dikembangkan kepada data Berpuluh-puluh ribu tapak boleh dilaksanakan di mana-mana tanpa kebergantungan tambahan yang ditulis dalam bahasa Go, keselamatan memori lebih terjamin. Pertama sekali, kami memasangnya terus dalam CentO
Menggunakan Jetty7 untuk pemprosesan pelayan Web dalam pembangunan API Java
Jun 18, 2023 am 10:42 AM
Menggunakan Jetty7 untuk Pemprosesan Pelayan Web dalam Pembangunan JavaAPI Dengan pembangunan Internet, pelayan Web telah menjadi bahagian teras pembangunan aplikasi dan juga menjadi tumpuan banyak perusahaan. Untuk memenuhi keperluan perniagaan yang semakin meningkat, ramai pembangun memilih untuk menggunakan Jeti untuk pembangunan pelayan web, dan fleksibiliti dan skalabilitinya diiktiraf secara meluas. Artikel ini akan memperkenalkan cara menggunakan Jetty7 dalam pembangunan JavaAPI untuk We
Perlindungan masa nyata terhadap rentetan penyekat muka di web (berdasarkan pembelajaran mesin)
Jun 10, 2023 pm 01:03 PM
Benteng penghalang muka bermakna sebilangan besar benteng terapung tanpa menyekat orang dalam video, menjadikannya kelihatan seperti terapung dari belakang orang itu. Pembelajaran mesin telah popular selama beberapa tahun, tetapi ramai orang tidak tahu bahawa keupayaan ini juga boleh dijalankan dalam penyemak imbas Artikel ini memperkenalkan proses pengoptimuman praktikal dalam rentetan video penyelesaian ini, dengan harapan dapat membukanya beberapa idea. mediapipeDemo (https://google.github.io/mediapipe/) menunjukkan prinsip pelaksanaan rentetan penyekat muka arus perdana atas permintaan sehingga pengiraan latar belakang pelayan video untuk mengekstrak kawasan potret dalam skrin video dan menukarnya kepada storan svg klien semasa memainkan video Muat turun svg dari pelayan dan gabungkannya dengan rentetan, potret
Bagaimana untuk melaksanakan pengesahan borang untuk aplikasi web menggunakan Golang
Jun 24, 2023 am 09:08 AM
Pengesahan borang adalah pautan yang sangat penting dalam pembangunan aplikasi web Ia boleh menyemak kesahihan data sebelum menyerahkan data borang untuk mengelakkan kelemahan keselamatan dan ralat data dalam aplikasi. Pengesahan borang untuk aplikasi web boleh dilaksanakan dengan mudah menggunakan Golang Artikel ini akan memperkenalkan cara menggunakan Golang untuk melaksanakan pengesahan borang untuk aplikasi web. 1. Elemen asas pengesahan borang Sebelum memperkenalkan cara melaksanakan pengesahan borang, kita perlu mengetahui apakah elemen asas pengesahan borang. Unsur bentuk: unsur bentuk ialah
Bagaimana untuk mengkonfigurasi nginx untuk memastikan bahawa pelayan frps dan web berkongsi port 80
Jun 03, 2023 am 08:19 AM
Pertama sekali, anda akan ragu-ragu, apakah itu frp? Ringkasnya, frp ialah alat penembusan intranet Selepas mengkonfigurasi klien, anda boleh mengakses intranet melalui pelayan. Sekarang pelayan saya telah menggunakan nginx sebagai laman web, dan hanya terdapat satu port 80. Jadi apakah yang perlu saya lakukan jika pelayan FRP juga mahu menggunakan port 80? Selepas membuat pertanyaan, ini boleh dicapai dengan menggunakan proksi terbalik nginx. Untuk menambah: frps ialah pelayan, frpc ialah pelanggan. Langkah 1: Ubah suai fail konfigurasi nginx.conf dalam pelayan dan tambahkan parameter berikut pada http{} dalam nginx.conf, server{listen80
Bagaimana untuk mendayakan akses pentadbiran daripada UI web kokpit
Mar 20, 2024 pm 06:56 PM
Kokpit ialah antara muka grafik berasaskan web untuk pelayan Linux. Ia bertujuan terutamanya untuk memudahkan pengurusan pelayan Linux untuk pengguna baharu/pengguna pakar. Dalam artikel ini, kami akan membincangkan mod akses Cockpit dan cara menukar akses pentadbiran kepada Cockpit daripada CockpitWebUI. Topik Kandungan: Mod Kemasukan Kokpit Mencari Mod Akses Kokpit Semasa Dayakan Capaian Pentadbiran untuk Kokpit daripada CockpitWebUI Melumpuhkan Capaian Pentadbiran untuk Kokpit daripada CockpitWebUI Kesimpulan Mod Kemasukan Kokpit Kokpit mempunyai dua mod capaian: Capaian Terhad: Ini adalah lalai untuk mod capaian kokpit. Dalam mod akses ini anda tidak boleh mengakses pengguna web dari kokpit
Apakah standard web?
Oct 18, 2023 pm 05:24 PM
Piawaian web ialah satu set spesifikasi dan garis panduan yang dibangunkan oleh W3C dan organisasi lain yang berkaitan Ia termasuk penyeragaman HTML, CSS, JavaScript, DOM, kebolehcapaian Web dan pengoptimuman prestasi Dengan mengikut piawaian ini, keserasian halaman boleh dipertingkatkan. kebolehcapaian, kebolehselenggaraan dan prestasi. Matlamat standard web adalah untuk membolehkan kandungan web dipaparkan dan berinteraksi secara konsisten pada platform, pelayar dan peranti yang berbeza, memberikan pengalaman pengguna yang lebih baik dan kecekapan pembangunan.
