博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
安全性测试要点转摘
阅读量:5972 次
发布时间:2019-06-19

本文共 1258 字,大约阅读时间需要 4 分钟。

1.跨网站脚本攻击

通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据

2.注入攻击

通过构造查询对数据库、LDAP和其他系统进行非法查询

3.恶意文件执行

在服务器上执行Shell 命令Execute,获取控制权

4.伪造跨站点请求

发起Blind 请求,模拟合法用户,要求转账等请求

5.不安全对象引用

不安全对象的引入,访问敏感文件和资源,WEB应用返回敏感文件内容

6.被破坏的认证和Session管理

验证Session token 保护措施,防止盗窃session

7.Session的失效时间限制

Session的失效时间设置是否过长,会造成访问风险

8.不安全的木马存储

过于简单的加密技术导致黑客破解编密码,隐秘信息被盗窃,验证其数据加密

9.不安全的通讯

敏感信息在不安全通道中以非加密方式传送, 敏感信息被盗窃,验证其通讯的安全性

10.URL访问限制失效

验证是否通过恶意手段访问非授权的资源链接,强行访问一些登陆网页,窃取敏感信息

11.信息泄露和不正确错误处理测试

恶意系统检测,防止黑客用获取WEB站点的具体信息的攻击手段获取详细系统信息

12.注册与登录测试

验证系统先注册后登录、验证登录用户名和密码匹配校验,密码长度及尝试登录次数,防止 非法用户登录

13.超时限制

验证WEB应用系统需要有是否超时的限制,当用户长时间不做任何操作的时候,需要重新登录才能使用

14.日志文件

验证服务器上日志是否正常工作,所有事务处理是否被记录

15.目录文件

验证WEB服务器目录访问权限,或者每个目录访问时有index.htm,防止 WEB 服务器处理不适当,将整个WEB目录暴露

16.身份验证

验证调用者身份、数据库身份、验证是否明确服务账户要求、是否强制式试用账户管理措施

17.授权

验证如何向最终用户授权、如何在数据库中授权应用程序,确定访问系统资源权限

18.会话

验证如何交换会话标识符、是否限制会话生存期、如何确保会话存储状态安全

19.配置管理

验证是否支持远程管理、是否保证配置存储安全、是否隔离管理员特权

20.备份与恢复

为了防止系统意外崩溃造成的数据丢失,验证备份与恢复功能正常实现、备份与恢复方式是否满足Web系统安全性要求

21.数据库关键数据是否进行加密存储,是否在网络中传递敏感数据

22.在登录或注册功能中是否有验证码存在,防止恶意大批量注册登录的攻击

23.Cookie文件是否进行了加密存储,防止盗用cookie内容

24.密码强度提醒

建议对密码的规则进行加强设置

25.密码内容禁止拷贝粘贴

---------------------
作者:狂飙兔
来源:CSDN
原文:https://blog.csdn.net/qq_29656581/article/details/78270839
版权声明:本文为博主原创文章,转载请附上博文链接!

转载于:https://www.cnblogs.com/wz123/p/10893920.html

你可能感兴趣的文章
Java Spring AOP的两种配置方式
查看>>
Magix中的缓存模块
查看>>
xinetd被动服务唤醒
查看>>
iView 3.4.1 发布,基于 Vue.js 的企业级 UI 组件库
查看>>
HoloLens获得新专利,可共享空间地图提升扫描建模效率
查看>>
让SAP云平台上的Web应用使用destination服务
查看>>
淘宝未来3年核心方向曝光!新的万亿级市场正在爆发
查看>>
有道词典命令行查询工具(Mac/Ubuntu)
查看>>
orm2 中文文档 3. 定义模型
查看>>
在业务过程中使用区块链和智能合约
查看>>
驾驶无人机也要考执照了,“黑飞”可能刑拘
查看>>
在虚拟现实中解谜,PSVR游戏《Statik》将于4月24日正式发售
查看>>
正数阶乘结尾0的个数
查看>>
SQL SERVER2008及以上版本数据库自动备份的三种方法
查看>>
秒杀于丹、蒋勋、蒙曼,每篇都有10万+的潜质。《六神磊磊读唐诗》,5星。
查看>>
利用日志记录所有LINQ的增,删,改解决方案
查看>>
实例讲解PostSharp(一)
查看>>
graylog 客户端的安装配置
查看>>
CentOS6.4_X86_64 安装Drupal-7.31必须成功版!
查看>>
驱动学习之驱动和应用的接口
查看>>