web安全测试有哪些目的
发布网友
发布时间:2024-10-01 12:52
共1个回答
热心网友
时间:2024-10-20 07:21
安全性测试的任务就是利用安全性测试技术,在产品未被正式发布之前,查找安全性测试的bug,发现安全性漏洞需要对安全性漏洞进行修复,避免漏洞被非常用户进行攻击,这样对服务器或者数据与钱相关的金融数据带来安全隐患,安全性测试的目的就是去发现这些安全性的问题,从而修复安全性测试的漏洞,让用户使用我们的系统更放心更安全。
但是往往安全性漏洞往往不容易发现,也不可能完全发现因为我们的黑客攻击技术过于复杂,无论我们怎么样避免一定要为用户提供服务,一定要开放一些端口需要给用户提供一些输入的界面,非常用户可以通过输入的方式打开80端口扫描的方式或者通过URL地址的参数方式进行SQL注入都有可能给我们的系统注入一些非常的代码。
我们要实施安全性测试的目的是,尽最大努力快速发现系统中安全性测试的漏洞与隐患,然后修改漏洞。
我们在学习安全性测试之前需要具备一定的网络协议、性能测试、接口测试都是基于网络协议而开展,如果我们仅对前端JS进行过滤没有对服务端进行过滤,如果绕开前端直接给服务器发送数据包这时候过滤不会生效,除了服务器也进行了过滤。
例如:给你一个文本框只允许输入数字,JS在浏览器进行了限制,但是服务器端接口未进行限制,这时候用户可以直接绕过前端直接向服务器端发送数据,这样也会存在安全性bug。
安全性测试有哪些分类?
1、认证与授权
例如:用户登录认证的操作,用户登录后的角色所授予的权限,从技术层面没有特别之处,需要登录用户进行登录,程序员在编写程序时一定要意识到安全性的漏洞问题。
2、Session与Cookie
Session是保存在服务器端的一些文件通过SessionID来保存文件,一般安全性较高问题不大,可以直接对服务器的数据进行读取。
Cookie是保存在客户端的,如果Cookie信息被用户获取到,就会被人利用漏洞对系统进行攻击。
3、DDOS拒绝服务攻击
不断地向服务器发送请求的情况,占用服务器的连接资源,让服务器的资源消耗完成,无论向服务器正常提供服务的情况叫作DDOS拒绝攻击,这种情况一般比较难防范,一般发送的请求都是正常的,服务器并不知道是DDOS攻击的情况,如果某些资源达到瓶颈系统就会导致瘫痪。
4、文件上传漏洞
一般用户端向服务器端提交文件时,如果用户传递了一个可执行的文件脚本是一个木马,这样就可以达到攻击服务器的目的。
5、XSS跨站攻击漏洞
XSS攻击一般对服务器没有影响,对用户会产生影响,例如:网页上存放某个脚本,其它用户操作网站的内容就不小心点击到了对服务器没有影响,通过跨站攻击就可以获取SessionID对网站进行非法操作就是Cookie欺骗。
还有一种情况就是用户模拟了一个钓鱼网站,让我们错误认识是自己的网站,输入一些与钱相关的敏感信息,获取用户的相关数据,容易入侵,从而导致一系列安全隐患问题。
6、SQL注入
可能通过任何可以输入的地方都能达到SQL注入的目的。
例如:登录框、文件输入框等相关功能都是一种普遍的攻击方式。
