WEB 安全测试分类及防范测试方法1 Web 应用程序布署环境测试 21。1HTTP 请求引发漏洞的测试 21。2 操作系统目录安全性及 Web 应用程序布署环境目录遍历问题测试 22 应用程序测试 32。1 SQL 注入漏洞测试 32.1.1 SQL 注入漏洞攻击实现原理 32。1.2 SQL 注入漏洞防范措施 42.1.3 SQL 注入漏洞检测方法 52.2 表单漏洞测试 62.2.1 表单漏洞实现原理 62。2.2 表单漏洞防范措施 62.2.3 表单漏洞检测方法 62。3 Cookie 欺骗漏洞测试 82。3。1 Cookie 欺骗实现原理 82。3.2 Cookie 欺骗防范措施 82.3。3 Cookie 欺骗监测方法 92。4 用户身份验证测试 92。4。1 用户身份验证漏洞防范措施 92.4。2 用户身份验证检测方法 92.5 文件操作漏洞测试 92。5。1 文件操作漏洞实现原理 92。5。2 文件操作漏洞防范措施 102.5.3 文件操作漏洞检测方法 102.6 Session 测试 112。6.1 客户端对服务器端的欺骗攻击 112。6.2 直接对服务器端的欺骗攻击 112.6.3 Session 漏洞检测方法 122。7 跨网站脚本(XSS)漏洞测试 132.7。1 跨网站脚本(XSS)漏洞实现原理 132。7。2 跨网站脚本(XSS)漏洞防范措施 132。7。3 跨网站脚本(XSS)漏洞测试方法 142。8 命令注射漏洞测试 142。9 日志文件测试 142.10 访问控制策略测试 142.10。1 访问控制策略测试方法 143 数据库问题测试 153。1 数据库名称和存放位置安全检测 153.2 数据库本身的安全检测 153.3 数据使用时的一致性和完整性测试 154 容错测试 154。1 容错方案及方案一致性测试 164。2 接口容错测试 164。3 压力测试 161 Web 应用程序布署环境测试用来架构 Web 网站的 UNIX、LINUX、WINDOWS 等服务器端操作系统和服务器软件都可能存在漏洞(如前不久被发现的 LINUX 系统内核漏洞),这些漏洞都会对 Web 应用程序造成安全威胁.因此,在布署 Web 应用程序前,应对 Web 应用程序的布署环境进行严格的测试,检查一切已知的漏洞,发现新的漏洞,将应用程序环境带来的安全威胁降底到最低程度。1.1HTTP 请求引发漏洞的测试超长 URL 的 HTTP 请求,特别格式字符的 HTTP 请求,某些不存在文件的 HTTP 请求,COM Internet Services (CIS)– RPC over HTTP 漏洞,从而引发拒绝服务,源代码显示,站点物理路径泄露,执行任意命令及命令注入等安全问题。因此,对非常规 URL 的 HTTP 请求要做全...
