文档介绍:【安全环保工作总结】 web安全工作总结
AcunetixWebVulnerability
AcunetixWebVulnerability 是通过缓慢运行该软件和运行诸如交叉站
点脚本和SQL层的安全
漏洞。简而言之,是在输入的字符串之中注入 SQL指令,在设计不良的
程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认
为是正常的 SQL指令而运行,因此遭到破坏。
测试方法:
某个网站的登录验证的 SQL查询代码为
strSQL= “SELECT*FROMusersWHERE(name=""+userName+"")
and(pw=""+passWord+"");"恶意填入userName=""OR"1"="1";
与
passWord=""OR"1"="1";
时,将导致原本的 SQL字符串被填为
strSQL="SELECT*FROMusersWHERE(name=""OR"1"="1")and
(pw=""OR"1"="1");" 也就是实际上运行的
strSQL="SELECT*FROMusers;"
�
SQL命令会变成下面这样的
因此达到无帐号密码,亦可登录网站。
(Cross-sitescripting,通常简称为 XSS)是一种网
站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其
他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML以及使
用者端脚本语言。
测试方法:
通常有一些方式可以测试网站是否有正确处理特殊字符:
scriptalert()/script
="scriptalert()/script
scriptalert()/script
scriptalert(vulnerable)/script
%3Cscript%3Ealert("XSS")%3C/script%3E
scriptalert("XSS")/script
imgsrc="javascript.:alert("XSS")"
imgsrc=""
divstyle="height:expression(alert("XSS"),1)"/ (这个仅限 IE有效)
使用者可做一个网页,试着用 当成参
数丢过去,然后再把它记录下来,这即是偷 cookie。
XSS攻击方法有:
偷cookie。
。
利用XMLHttpRequest存取管理页面或后台页面。
旁注
我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站
同一服务器的站点,然后在利用这个站点用***,嗅探等方法来入侵我们
要入侵的站点。
篇三:WEB测试小结
WEB测试小结
一、输入框
1、字符型输入框:
1)字符型输入框:英文全角、英文半角、数字、空或者空格、特殊字符“~!@#¥%??*?[]{}特”别要注意单引号和符号。禁止直接输入特殊字符时,使用“粘贴、拷贝”功能尝试输入。
(2)长度检查:最小长度、最大长度、最小长度 -1、最大长度+1、
输入超工字符比如把整个文章拷贝过去。
3)空格检查:输入的字符间有空格、字符前有空格、字符后有空格、字符前后有空格
4)多行文本框输入:允许回车换行、保存后再显示能够保存输入的格式、仅输入回车换行,检查能否正确保存(若能,检查保存结果,若不能,查看是否有正常提示)、
5)安全性检查:输入特殊字符串
null,NULL,,javascript,script,/script,title,html,td)、输入脚本函数
(scriptalert("abc")/script)、("abc")、bhello/b)
2、数值型输入框:
(1)边界值:最大值、最小值、最大值 +1、最小值-1
(2)位数:最小位数