WEB的安全性测试主要从以下方面考虑 1.SQL Injection(SQL注入) (1)如何进行SQL注入测试?首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等.注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传...
分类:
Web程序 时间:
2016-01-02 22:36:12
阅读次数:
245
两个重要的WEB应用安全组织-WASC/OWASPWeb Application Security Consortium (WASC) a.WEB应用安全标准的制定、收集和推广 b,Official web site: www.webappsec.org c.Web Security Threat ...
分类:
Web程序 时间:
2015-10-06 23:45:51
阅读次数:
254
一、web安全性1.放在WEB-INF文件夹上的文件是无法被用户所见,若用户需要访问,则需要通过映射的方式。如<%@pagecontentType="text/html"pageEncoding="GBK"%>
<html>
<head>
<title>include</title>
</head>
<body>
<h2>&l..
分类:
Web程序 时间:
2015-08-12 14:58:39
阅读次数:
128
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。gitclonehttps://github.com/SpiderLabs/ModSecurity.git
cdModSecurity/
./autogen.sh
./configure--..
分类:
其他好文 时间:
2015-04-08 11:12:28
阅读次数:
173
相信进来的时候你已经看到alert弹窗,显示的是你cookie信息(为配合博客园要求已删除)。单纯地在你的客户端弹出信息只是类似于迫使你在自己的房间脱衣服——没人看得到,自然也不算啥恶意行为。那么如果我把你的信息通过脚本发送到我的服务器保存起来呢?先放心,我不打算这么做,也没那笔闲钱去购置一个服务器...
分类:
Web程序 时间:
2014-12-21 23:28:46
阅读次数:
256
常见Web应用安全问题 经过上两篇(《Web安全性问题的层次关系》及《解读Web应用安全问题的本质》)关于Web安全及Web应用安全概念性知识的宏观介绍,相信大家已经有所感知了。从今天开始,我将陆续给大家介绍常见的Web应用安全性问题。 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里....
分类:
Web程序 时间:
2014-08-29 00:06:36
阅读次数:
376
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手Web安全性测试数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操...
分类:
Web程序 时间:
2014-05-23 06:46:14
阅读次数:
275
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1.
输入验证客户端验证
服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限...
分类:
Web程序 时间:
2014-05-13 18:53:48
阅读次数:
477
