安全性測試報告_第1頁
安全性測試報告_第2頁
安全性測試報告_第3頁
安全性測試報告_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、安 全 性 測 試 報 告陳星1、Sql注入:后臺身份驗證繞過漏洞驗證繞過漏洞就是or'='or后臺繞過漏洞,利用的就是AND和OR 的運算規(guī)則,從而造成后臺腳本邏輯性錯誤例如管理員的賬號密碼都是admin,那么再比如后臺的數(shù)據(jù)庫查詢語句是user=request("user")passwd=request("passwd")sql='selectadminfromadminbatewhereuser=&”&user&”'&'andpasswd=' &'

2、9;'&passwd&'''那么我使用or'a'='a來做用戶名密碼的話,那么查詢就變成了selectadminfromadminbatewhereuser=''or'a'='a'andpasswd=''or'a'='a'這樣的話,根據(jù)運算規(guī)則,這里一共有4個查詢語句,那么查詢結(jié) 果就是假or真and假or真,先算and再算or,最終結(jié)果為真,這樣 就可以進到后臺了這種漏洞存在必須要有2個條件,第一個:在后臺驗證代碼上,賬 號密

3、碼的查詢是要同一條查詢語句,也就是類似sql="select*fromadminwhereusername='"&username&'&"passwd='"&p asswd&'如果一旦賬號密碼是分開查詢的,先查帳號,再查密碼,這樣的 話就沒有辦法了。第二就是要看密碼加不加密,一旦被MD5加密或者其他加密方式 加密的,那就要看第一種條件有沒有可以,沒有達到第一種條件的話, 那就沒有戲了2、跨站腳本攻擊XSS跨站腳本攻擊一直都被認為是客戶端 Web安全中最主流的攻擊 方式。因為Web環(huán)境

4、的復(fù)雜性以及XSS跨站腳本攻擊的多變性,使 得該類型攻擊很難徹底解決。跨站腳本攻擊是指攻擊者利用網(wǎng)站程序 對用戶輸入過濾不足,輸入可以顯示在頁面上對其他用戶造成影響的 HTML代碼,從而盜取用戶資料、利用用戶身份進行某種動作或者對 訪問者進行病毒侵害的一種攻擊方式。3、文件上傳測試。網(wǎng)站用戶可以上傳自己的頭像,上傳圖片格式的文件可以成功,非圖片就不會成功上傳。4、系統(tǒng)權(quán)限測試。用商家或?qū)W生用戶賬戶密碼,無法登陸管理員管理后臺。學(xué)生和未登 陸用戶不能發(fā)布招收兼職的信息,商家用戶登陸才能發(fā)布此信息。不 同用戶擁有不同的權(quán)限。5、Cookie安全性測試。從瀏覽器正提取Cookie。HTTPCooki

5、e 不會給機器帶來任何傷害,比如從硬盤中獲取數(shù)據(jù)、取得E-mail地址、或竊取某些私人的敏感信息等。實際上,JavaWJavaScrip異期的運行版本存在這方面的缺陷,但這些安全方面漏洞的 絕大部分已經(jīng)被堵塞了。 可執(zhí)行屬性是儲存于一個文件中的程序代碼執(zhí)行其功能的必要條件,而 Cookies是以標準文本文件形式儲存的, 因此不會傳遞任何病毒,所以從普通用戶意義上講,Cookie本身是安 全可靠的。但是, 隨著互聯(lián)網(wǎng)的迅速發(fā)展, 網(wǎng)上服務(wù)功能的進一步開發(fā)和完善, 利用網(wǎng)絡(luò)傳遞的資料信息愈來愈重要, 有時涉及到個人的隱私。因此關(guān)于Cookies的一個值得關(guān)心的問題并不是 Cookies對你的機器能

6、做些什么, 而是它能存儲些什么信息或傳遞什么信息到鏈接的服務(wù)器。HTTPCookies可以被用來跟蹤網(wǎng)上沖浪者訪問過的特定站點,盡管站點的跟蹤不用 Cookies也容易實現(xiàn),不過利用Cookies使跟蹤到的數(shù)據(jù)更加堅固可靠些。由于一個Cookie是Web服務(wù)器放置在你的機器上的、并可以重新獲取你的檔案的唯一的標識符,因此Web站點管理員可以利用Cookies建立關(guān)于用戶及其瀏覽特征的詳細 檔案資料。當(dāng)用戶登錄到一個 Web站點后,在任一設(shè)置了 Cookies的 網(wǎng)頁上的點擊操作信息都會被加到該檔案中。 檔案中的這些信息暫時 主要用于站點的設(shè)計維護, 但除站點管理員外并不否認被別人竊取的可能,假如這些Cookies持有者們把一個用戶身份鏈接到他們的CookielD,利用這些檔案資料就可以確認用戶的名字及地址。此外某些高級的Web站點實際上采用了 HTTPCookies的注冊鑒定方式。當(dāng) 用戶在站點注冊或請求信息時,經(jīng)常輸入確認他們身份的登記口令、E-mail地址或郵政地址到 Web頁面的窗體中,窗體從 Web頁面收集 用戶信息并提交給站點服務(wù)器,服務(wù)器利用Cookies持久地保存信息, 并將其放置在

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論