网站安全性测试题及答案网站安全性测试( 三 ) _xss

试想如果我们注入的不是以上这个简单的测试代码，而是一段经常精心设计的恶意脚本，当用户浏览此帖时，信息就可能成功的被攻击者获取。此时浏览者的帐号就很容易被攻击者掌控了。(2)如何预防 XSS 漏洞? 从应用程序的角度来讲,要进行以下几项预防: 对 īpt,VB scrīpt, HTML,, Flash 等语句或脚本进行转义. 在服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作. 从测试人员的角度来讲,要从需求检查和执行测试过程两个阶段来完成 XSS 检查: 在需求检查过程中对各输入项或输出项进行类型、长度以及取值范围进行验证，着重验证是否对 HTML 或脚本代码进行了转义。执行测试过程中也应对上述项进行检查。3.CSRF:(跨站点伪造请求) 3.CSRF:(跨站点伪造请求) CSRF:(跨站点伪造请求 CSRF 尽管听起来像跨站脚本（XSS），但它与 XSS 非常不同，并且攻击方式几乎相左。
XSS 是利用站点内的信任用户，而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。XSS 也好，CSRF 也好，它的目的在于窃取用户的信息，和如（关于和的介绍请参见我的另一篇 BLOG：），(1)如何进行 CSRF 测试？关于这个主题本人也正在研究，目前主要通过安全性测试工具来进行检查。(2)如何预防 CSRF 漏洞？请参见请参见.html (邮件标头注入邮件标头注入) 4.Email(邮件标头注入) Email：如果表单用于发送 email,表单中可能包括 “”输入项（邮件标题），我们要验证中应能掉“\n” 标识。!--[if !]--!--[endif]--因为“\n”是新行，如果在中输入“hello\ncc:”，可能会形成以下 : hello cc:!--[if !]--!--[endif]--如果允许用户使用这样的其它用，那他可能会给利用这个缺陷通过我们的平台给其它户发送垃其它圾邮件。
【网站安全性测试题及答案网站安全性测试】 (目录遍历目录遍历) 5. (目录遍历) （1）如何进行目录遍历测试？目录遍历产生的原因是：程序中没有过滤用户输入的“../”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。测试方法： URL 中输入一定数量的在 “../” “./” 验证系统是否和，掉了这些目录跳转符。（2）如何预防目录遍历？限制 Web 应用在服务器上的运行进行严格的输入验证，控制用户输入非法路径 (错误信息错误信息) 6. error (错误信息) （1）如何进行测试？首先找到一些错误页面，比如 404,或 500 页面。验证在调试未开通过的情况下，是否给出了友好的错误提示信息比如“你访问的页面不存在”等，而并非曝露一些程序代码。（2）如何预防？测试人员在进行需求检查时，应该对出错信息进行详细查，比如是否给出了出错信息，是否给出了正确的出错信息。
如何进行WEB安全性测试？
一般来说，一个WEB应用包括WEB服务器运行的操作系统、WEB服务器、WEB应用逻辑、数据库几个部分，其中任何一个部分出现安全漏洞，都会导致整个系统的安全性问题。\x0d\x0a对操作系统来说，最关键的操作系统的漏洞，上的RPC漏洞、缓冲区溢出漏洞、安全机制漏洞等等；\x0d\x0a对WEB服务器来说，WEB服务器从早期仅提供对静态HTML和图片进行访问发展到现在对动态请求的支持，早已是非常庞大的系统。\x0d\x0a对应用逻辑来说，根据其实现的语言不同、机制不同、由于编码、框架本身的漏洞或是业务设计时的不完善，都可能导致安全上的问题。\x0d\x0a对WEB的安全性测试是一个很大的题目，首先取决于要达到怎样的安全程度。不要期望网站可以达到100%的安全，须知，即使是美国国防部，也不能保证自己的网站100%安全。对于一般的用于实现业务的网站，达到这样的期望是比较合理的：\x0d\x0a1、能够对密码试探工具进行防范；\x0d\x0a2、能够防范对攻击等常用攻击手段；\x0d\x0a3、敏感数据保证不用明文传输；\x0d\x0a4、能防范通过文件名猜测和查看HTML文件内容获取重要信息；\x0d\x0a5、能保证在网站收到工具后在给定时间内恢复，重要数据丢失不超过1个小时；

网站安全性测试题及答案 网站安全性测试( 三 )

网站安全性测试题及答案网站安全性测试( 三 )