火龙果安全测试Web.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 手动测试 手动（人工）测试就是在系统测试过程中对系统的安全漏洞方面进行人为针对性的测试。 主要从安全体系架构、应用与传输、其他配置类安全（中间件等）等几个方面进行安全测试。 * 安全体系架构 敏感数据 在传输过程中和存储中是否加密 会话管理 会话是否有超时、数据加密等设置 配置管理 配置信息的管理（配置文件的权限等） 参数操作 是否使用参数操作，如sql语句中 * 安全体系架构 输入验证 输入数据是否经过三重验证（客户端、服务端、数据库） 身份验证 系统是否有用户身份验证 授权管理 是否使用权限控制管理（水平和垂直、URL级别和菜单级别） * 安全体系架构 异常管理 系统在抛出异常的时候是否泄漏一些敏感的信息 审核和日志记录 是否有审计和日志记录 加密 敏感数据或者重要数据传输过程中和存储中是否加密 * 应用与传输安全 注册与登录、退出 用户在注册和登录时是否有验证码功能、登录是否有次数限制、退出时是否session是否也断开。 在线超时 用户在线是否有超时限制功能 操作留痕 用户执行重要操作是否有记录或者“确定”提示。 * 应用与传输安全 服务端的脚本漏洞检测 防火墙测试 HTTPS和SSL测试 备份与恢复 * 应用与传输安全 口令传输 会话标识 会话标识复用 * 其他配置类安全测试 中间件中设置会话超时 会话并发限制 防垃圾邮件设置 OS安全配置（端口等） * Web漏扫工具介绍 Web vulnerability scanner webScarab * Web vulnerability scanner Web vulnerability scanner 通过网络爬虫测试你的网站安全，检测流行的攻击 ,如交叉站点脚本,sql 注入等。在被黑客攻击前扫描如购物车，表格、安全区域和其他Web应用程序。 * Web vulnerability scanner * Web vulnerability scanner * Web vulnerability scanner * Web vulnerability scanner * Web vulnerability scanner * Web vulnerability scanner * WebScarab webScarab 一款代理软件，可以进行分析 HTTP 和HTTPS协议执行通信的应用程序，用最基本地形式记录它观察的会话，并允许操作人员以各种方式观查会话。 * WebScarab界面介绍 * WebScarab代理设置 * WebScarab设置监听端口 * WebScarab设置监听端口 * 其他漏扫工具 Nikto Paros proxy Webscarab webInspect Whisker/libwhisker Burpsuite * THANK YOU * * * * * * * * * * ? GOOGLE 2005 Web安全测试 * 什么是Web安全测试 Web安全测试定义 Web安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，web系统应用仍然能够充分地满足它的需求。 -----《web安全测试》 * 为什么进行Web安全测试 为什么进行Web安全测试 Web攻击主要类型介绍 如何进行Web安全测试 Web安全测试方法介绍 Web安全测试工具介绍 * Web攻击主要类型 跨站脚本(XSS)攻击 SQL注入 XML注入 目录遍历 上传下载漏洞攻击 信息泄露 访问控制错误 * 跨站脚本(XSS) XSS又叫CSS??(Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。 盗取Cookie 钓鱼 操纵受害者的浏览器 蠕虫攻击 * 反射型跨站(Reflected XSS) 服务端获取HTTP请求中的参数，未经过滤直接输出到客户端。如果这些参数是脚本，它将在客户端执行。(钓鱼常见) * 存储型跨站(Stored XSS) 用户输入的数据存放在服务端(一般放数据库里)，其他用