20 web安全性测试用例1

2017-08-02  本文已影响136人  天天向上的小M

web安全性测试用例  http://www.cnblogs.com/qmfsun/p/3724406.html
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和授权错误.
 

什么是XSS? XSS的全称是Cross Site Script(跨站点脚本) XSS的原理很简单,即进行脚本注入,URL执行时即把此脚本进行了执行,一般都是JavaScript脚本,如alter(“abc”) 在URL中进行XSS注入,也就是把URL中的参数改成JS脚本。

(4) URL参数中进行SQL 注入

什么是SQL注入? SQL注入全称是SQL Injection ,当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击,如查询、插入数据时。

测试方法: URL中写入SQL注入语句,看是否被执行,如:’or 1=1;shutdown

一般情况下要进行SQL注入攻击,需要对数据库类型、表名、判断逻辑、查询语句等比较清楚才能够写出有效的SQL注入语句。

(5) ...

7. 表单提交安全

(1) 表单中注入XSS脚本

测试方法:即在表单填写框中直接注入JS脚本 如在表单中输入XSS脚本,程序是不应该让脚本执行的。

(2) 表单中注入SQL 脚本

(3) ...

8. 上传文件安全

分析:上传文件最好要有格式的限制;上传文件还要有大小的限制。

9. Email Header Injection(邮件标头注入)

Email Header Injection:如果表单用于发送email, 表单中可能包括“subject”输入项(邮件标题), 我们要验证subject中应能escape掉“\n”标识。

因为“\n”是新行,如果在subject中输入“hello\ncc:spamvictim@example.com”,可能会形成以下

Subject: hello

cc: spamvictim@example.com

如果允许用户使用这样的subject,那他可能会给利用这个缺陷通过我们的平台给其它用 户发送垃圾邮件。

10. 不恰当的异常处理

分析:程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞;

11. ...

上一篇下一篇

猜你喜欢

热点阅读