Time: 2019-11-14  百度网盘

安全测试培训PPT-常见安全问题

  安全测试培训PPT-常见安全问题

  2.1 OWASP Top10 Risks

等级保护资讯网

  等级保护资讯网

2.2 近期各地分子公司被报送漏洞

  近期被报送漏洞分类:

等级保护资讯网

  支付类漏洞:购物网站订单金额、积分可被修改;

等级保护资讯网

  身份认证类漏洞:验证码可重复使用、缺少验证码机制、登录错误次数未限制等;

等级保护资讯网

  用户名密码明文传输;

等级保护资讯网

  后台管理页面暴露:Web中间件管理页面、数据库管理页面、应用管理后台等;

等级保护资讯网

  敏感信息泄露:目录遍历;建站信息、中间件版本、敏感调试信息泄露;

等级保护资讯网

  2.3 常见漏洞类型及威胁举例

  原理:

  攻击者通过在输入数据中构造恶意SQL语句,直接拼接到sql语句中,将导致恶意代码被执行;

  威胁:

  select、insert、delete等语句均受影响;

  攻击者可能通过sql注入漏洞越权向数据库添加非法数

  据、越权篡改数据、删除数据;可能获取全部数据库内

  容;可能进一步获取主机控制权。

  sql注入漏洞;

等级保护资讯网

  xss漏洞;

  定义:

  因应用程序未合理处理用户输入,用户在输入中构造恶意

  脚本,并在输出到浏览器时直接被拼接到html后执行;

  分类:

  反射型、保存型、基于DOM的XSS;

  威胁:

  恶意脚本被执行可能导致cookie等敏感信息泄露、或被用

  于社会工程学攻击,甚至可能转变成蠕虫病毒;

等级保护资讯网

等级保护资讯网

  文件上传下载漏洞;

  上传漏洞:

  攻击者可能通过上传功能,上传木马文件获取主机控制权;

  场景举例:

  证书上传、安装包上传、注册时上传头像、投诉功能中上传图片等;

  防止文件上传漏洞:

  a、在前端和后端均设置可上传文件类型白名单;

  b、文件上传后修改文件名;

  c、在服务器中,删除上传文件所在文件夹的可执行权限;

  逻辑缺陷;

  多阶段过程中不可跳过某步骤;

  关键任务的业务完整性:

  针对关键业务的每个参数,测试其在错误值、超长、超短、非法、边

  界值等情况下的服务器响应,检查是否有可越权或敏感错误调试信息

  暴露;

  认证机制缺陷;

  访问控制:

  针对权限管理功能,尝试通过修改参数转换用户身份;

  不可通过修改url中或post数据中userid类似的参数获取其它用户的数据;

  敏感信息泄露

  包括如下类型:

  前端页面、http响应、日志文件,禁止暴露敏感信息,包括内网ip、邮箱地址、敏感错误调试信息等;

  目录遍历;

  备份文件、测试文件、数据库文件、日志文件泄露;

  敏感调试信息泄露;

18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。