安全性測試報告_第1頁
安全性測試報告_第2頁
安全性測試報告_第3頁
安全性測試報告_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、安全性測試報告123012011112陳星1、Sql注入:后臺身份驗證繞過漏洞驗證繞過漏洞就是'o='or后臺繞過漏洞,利用的就是AND和OR的運(yùn)算規(guī)則,從而造成后臺腳本邏輯性錯誤例如管理員的賬號密碼都是admin,那么再比如后臺的數(shù)據(jù)庫查詢語句是user=request("user")passwd=request("passwd")sql='selectadminfromadminbatewhereuser='&'''&user&'''&&#

2、39;andpasswd='&'''&passwd&'''那么我使用'or'a'='a來做用戶名密碼的話,那么查詢就變成了selectadminfromadminbatewhereuser=''or'a'='a'andpasswd=''or'a'='a'這樣的話,根據(jù)運(yùn)算規(guī)則,這里一共有4個查詢語句,那么查詢結(jié)果就是假or真and假or真,先算and再算or,最終結(jié)果為真,這樣就可以進(jìn)到后

3、臺了這種漏洞存在必須要有2個條件,第一個:在后臺驗證代碼上,賬號密碼的查詢是要同一條查詢語句,也就是類似sql="select*fromadminwhereusername='"&username&'&"passwd='"&passwd&'如果一旦賬號密碼是分開查詢的,先查帳號,再查密碼,這樣的話就沒有辦法了。第二就是要看密碼加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一種條件有沒有可以,沒有達(dá)到第一種條件的話,那就沒有戲了2、跨站腳本攻擊XSS跨站腳本攻擊一直都被認(rèn)

4、為是客戶端Web安全中最主流的攻擊方式。因為Web環(huán)境的復(fù)雜性以及XSS跨站腳本攻擊的多變性,使得該類型攻擊很難徹底解決??缯灸_本攻擊是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼,從而盜取用戶資料、利用用戶身份進(jìn)行某種動作或者對訪問者進(jìn)行病毒侵害的一種攻擊方式。3、文件上傳測試。網(wǎng)站用戶可以上傳自己的頭像,上傳圖片格式的文件可以成功,非圖片就不會成功上傳。4、系統(tǒng)權(quán)限測試。用商家或?qū)W生用戶賬戶密碼,無法登陸管理員管理后臺。學(xué)生和未登陸用戶不能發(fā)布招收兼職的信息,商家用戶登陸才能發(fā)布此信息。不同用戶擁有不同的權(quán)限??焖侔l(fā)布項目請以法布方會員”餐錄

5、后才靛開始發(fā)布“迪在或登錄么?5、Cookie安全性測試。從瀏覽器正提取Cookie。Ha加邙PreviewCookiesTimingRemoteAddress;1:7777RequestURI:http:/localhost:7777/RequeitMethod:GETSutuCode:2&3OKtRequestHeaders-r-jurceA«ept:text/html/application/xhtml+XT1Japplication?xrrl;q=0HSirrage/hebp1'/;q=08Accept-Encoding:giipdeflatejsdchAcc

6、ept-Languflge:zh'CNjzh;q«&.8jen;q«Bk6jzh-TW;q»e.4Cache-Control:ax-ageQConnection;Keep-aliveCookiei.A£PXALFTH-BSB5D7e3BFB742CB171M2eBB22939CAi7A9CeA6BFD9CBEiaA52ACE44A7ClA£A1DE4L307rBDAe4S007Ce63CDAD5-5BFAA5A6i585BC105375DHT:1Host:Localhc£t:7777User-Aent:MaLilliS

7、-0(KindOhSNT6.1;rtOV764)AppleebKit537.36(KHTML.LikeGeeHTTPCookie不會給機(jī)器帶來任何傷害,比如從硬盤中獲取數(shù)據(jù)、取得E-mail地址、或竊取某些私人的敏感信息等。實(shí)際上,JavaWJavaScrip異期的運(yùn)行版本存在這方面的缺陷,但這些安全方面漏洞的絕大部分已經(jīng)被堵塞了??蓤?zhí)行屬性是儲存于一個文件中的程序代碼執(zhí)行其功能的必要條件,而Cookies是以標(biāo)準(zhǔn)文本文件形式儲存的,因此不會傳遞任何病毒,所以從普通用戶意義上講,Cookie本身是安全可靠的。但是,隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)上服務(wù)功能的進(jìn)一步開發(fā)和完善,利用網(wǎng)絡(luò)傳遞的資料信息愈來

8、愈重要,有時涉及到個人的隱私。因此關(guān)于Cookies的一個值得關(guān)心的問題并不是Cookies對你的機(jī)器能做些什么,而是它能存儲些什么信息或傳遞什么信息到鏈接的服務(wù)器。HTTPCookies可以被用來跟蹤網(wǎng)上沖浪者訪問過的特定站點(diǎn),盡管站點(diǎn)的跟蹤不用Cookies也容易實(shí)現(xiàn),不過利用Cookies使跟蹤到的數(shù)據(jù)更加堅固可靠些。由于一個Cookie是Web服務(wù)器放置在你的機(jī)器上的、并可以重新獲取你的檔案的唯一的標(biāo)識符,因此Web站點(diǎn)管理員可以利用Cookies建立關(guān)于用戶及其瀏覽特征的詳細(xì)檔案資料。當(dāng)用戶登錄到一個Web站點(diǎn)后,在任一設(shè)置了Cookies的網(wǎng)頁上的點(diǎn)擊操作信息都會被加到該檔案中。檔案中的這些信息暫時主要用于站點(diǎn)的設(shè)計維護(hù),但除站點(diǎn)管理員外并不否認(rèn)被別人竊取的可能,假如這些Cookies持有者們把一個用戶身份鏈接到他們的CookieID,利用這些檔案資料就可以確認(rèn)用戶的名字及地址。此外某些高級的Web站點(diǎn)實(shí)際上采用了HTTPCookies的注冊鑒定方式。當(dāng)用戶在站點(diǎn)注冊或請求信息時,經(jīng)常輸入確認(rèn)他們身份的登記口令、E-mail地址或郵政地址到Web頁面的窗體中,窗體從Web頁面收集用戶信

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論