安全测试培训PPT-常见安全问题
安全测试培训PPT-常见安全问题
2.1 OWASP Top10 Risks
2.2 近期各地分子公司被报送漏洞
近期被报送漏洞分类:
支付类漏洞:购物网站订单金额、积分可被修改;
身份认证类漏洞:验证码可重复使用、缺少验证码机制、登录错误次数未限制等;
用户名密码明文传输;
后台管理页面暴露:Web中间件管理页面、数据库管理页面、应用管理后台等;
敏感信息泄露:目录遍历;建站信息、中间件版本、敏感调试信息泄露;
2.3 常见漏洞类型及威胁举例
原理:
攻击者通过在输入数据中构造恶意SQL语句,直接拼接到sql语句中,将导致恶意代码被执行;
威胁:
select、insert、delete等语句均受影响;
攻击者可能通过sql注入漏洞越权向数据库添加非法数
据、越权篡改数据、删除数据;可能获取全部数据库内
容;可能进一步获取主机控制权。
sql注入漏洞;
xss漏洞;
定义:
因应用程序未合理处理用户输入,用户在输入中构造恶意
脚本,并在输出到浏览器时直接被拼接到html后执行;
分类:
反射型、保存型、基于DOM的XSS;
威胁:
恶意脚本被执行可能导致cookie等敏感信息泄露、或被用
于社会工程学攻击,甚至可能转变成蠕虫病毒;
文件上传下载漏洞;
上传漏洞:
攻击者可能通过上传功能,上传木马文件获取主机控制权;
场景举例:
证书上传、安装包上传、注册时上传头像、投诉功能中上传图片等;
防止文件上传漏洞:
a、在前端和后端均设置可上传文件类型白名单;
b、文件上传后修改文件名;
c、在服务器中,删除上传文件所在文件夹的可执行权限;
逻辑缺陷;
多阶段过程中不可跳过某步骤;
关键任务的业务完整性:
针对关键业务的每个参数,测试其在错误值、超长、超短、非法、边
界值等情况下的服务器响应,检查是否有可越权或敏感错误调试信息
暴露;
认证机制缺陷;
访问控制:
针对权限管理功能,尝试通过修改参数转换用户身份;
不可通过修改url中或post数据中userid类似的参数获取其它用户的数据;
敏感信息泄露
包括如下类型:
前端页面、http响应、日志文件,禁止暴露敏感信息,包括内网ip、邮箱地址、敏感错误调试信息等;
目录遍历;
备份文件、测试文件、数据库文件、日志文件泄露;
敏感调试信息泄露;