网站大量收购闲置独家精品文档,联系QQ:2885784924

《17BQConf_02_安全测试web scrity pdf》.pdf

  1. 1、本文档共12页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《17BQConf_02_安全测试web scrity pdf》.pdf

Web Security In QA daily work ThoughtWorks passionate We are not security experts, but QA Enginners passionate about quality love 什么是OWASP 开源web应⽤安全项⺫(OWASP)是⼀个开放的社区,致⼒于帮助 各企业组织开发、购买和维护可信任的应⽤程序。 在OWASP,您可以找到以下免费和开源的信息. • 应⽤安全⼯具和标准
 • 关于应⽤安全测试、安全代码开发和安全代码审查⽅⾯的全⾯ 书籍
 • 标准的安全控制和安全库 OWASP TOP 10 SECURITY ISSUES A1 – 注⼊(Injection) • 注⼊攻击漏洞,例如SQL,OS以及 LDAP注⼊。这些攻击发⽣在当不可信的数据作 为命令或者查询语句的⼀部分,被发送给解释器的时候。攻击者发送的恶意数据可 以欺骗解释器,以执⾏计划外的命令或者在未被恰当授权时访问数据。 A2 – 失效的⾝份认证和会话管理(Broken Authentication Session Management) • 与⾝份认证和会话管理相关的应⽤程序功能往往得不到正确的实现,这就导致了 攻击者破证和会话管理坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他⽤ 户的⾝份。 /sale/saleitems;jsessionid= 2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii OWASP TOP 10 SECURITY ISSUES A3 –跨站脚本 (XSS) • 当应⽤程序收到含有不可信的数据,在没有进⾏适当的验证和转义的情况下,就将 它发送给⼀个⺴⻚浏览器,这就会产⽣跨站脚本攻击(简称XSS) 。XSS允许攻击者 在受害者的浏览器上执⾏脚本,从⽽劫持⽤户会话、危害⺴站、或者将⽤户转向⾄ 恶意⺴站。 A4 – 不安全的直接对象引⽤(Insecure Direct Object References) • 当开发⼈员暴露⼀个对内部实现对象的引⽤时,例如,⼀个⽂件、⺫录或者数据库 密匙, 就会产⽣⼀个不安全的直接对象引⽤。在没有访问控制检测或其他保护时, 攻击者会操控这些引⽤去访问未授权数据。 http://localhost/dvwa/phpinfo.php OWASP TOP 10 SECURITY ISSUES A5–安全配置错误(Security Misconfiguration) • 好的安全需要对应⽤程序、框架、应⽤程序服务器、web服务器、数据库服务器 和平台定义和执⾏安全配置。由于许多设置的默认值并不是安全的,因此,必须定 义、实施和维护这些设置。这包含了对所有的软件保持及时地更新,包括所有应⽤ 程序的库⽂件。 http://localhost//dvwa/vulnerabilities/ A6 – 敏感信息泄漏(Sensitive Data Exposure) • 许多Web应⽤程序没有正确保护敏感数据,如信⽤卡,税务ID和⾝份验证凭据。攻 击者可能会窃取或篡改这些弱保护的数据以进⾏信⽤卡诈骗、⾝份窃取,或其他犯 罪。敏感数据值需额外的保护,⽐如在存放或在传输过程中的加密,以及在与浏览 器交换时进⾏特殊的预防措施。 OWASP TOP 10 SECURITY ISSUES A7 – 功能级访问控制缺失(Missing Function Level Access Control) • ⼤多数Web应⽤程序在功能在UI中可⻅以前,验证功能级别的访问权限。但是,应 ⽤程序需要在每个功能被访问时在服务器端执⾏相同的访问控制检查。如果请求 没有被验证,攻击者能够伪造请求以在未经适当授权时访问功能。 /app/getappInfo /app/admi

文档评论(0)

egip + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档