宿迁web培训学校|web常见安全问题以及测试方法
上元教育创办至今,已经走过15年了,期间,上元教育坚持全心全意为学员服务的宗旨,不断为社会,为各行业各业培养优秀的人才,赢得了非常多学员的赞美。教学实力雄厚,品牌影响力深入人心,欢迎大家前来咨询学习。
Web安全是我们测试组一直以来作为和性能测试并驾齐驱的两个重点。开发的过程中还需要着重注意,该转义的地方转义;该屏蔽的地方屏蔽,该过滤的地方过滤等等。年底又到了,势必又有大批的发号抽奖之类的活动开发、上线,在这个过程中,安全问题是我们每个人应该紧绷的神经,对于我们测试人员来说,每个活动需要做到手动安全测试加自动化安全测试相结合。
常见的web安全问题
常见的web安全问题有:
SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。
手动安全测试
对于手动安全测试来说:
1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;
2、在登录输入框的地方输入‘ or 1=1-或 “ or 1=1-等看是否有SQL注入;
3、在注重SQL注入的同时,一般在有输入框的地方输入
自动化安全问题
对于自动化安全测试来说:
测试组目前使用的安全测试工具为IBM的AppScan(当然,是破解版,34上已经放过该工具的安装包)
1、在使用之前务必确认自己绑定的Host;
2、配置URL、开发环境、错误显示类型;
3、结果保存后可根据提示的问题类型和解决建议进行分析。
web安全测试考虑测试点
Web安全测试通常要考虑的测试点:
1、输入的数据没有进行有效的控制和验证
2、用户名和密码
3、直接输入需要权限的网页地址可以访问
4、认证和会话数据作为GET的一部分来发送
5、隐藏域与CGI参数
6、上传文件没有限制
7、把数据验证寄希望于客户端的验证
8、跨站脚本(XSS)
9、注入式漏洞(SQL注入)
10、不恰当的异常处理
11、不安全的存储
12、不安全的配置管理
13、传输中的密码没有加密
14、弱密码,默认密码
15、缓冲区溢出
16、拒绝服务
上课内容:1、HTML+CSS、浏览器兼容性、Photoshop、静态网页实战、响应式布局、多终端自适应、Flex弹性盒布局、Animate CSS动画框架
2、JS基础、Web API、Swiper动画实现、JavaScript高级、jQuery、Bootstrap响应式框架、ES6/ES7/ES8
3、VUE2.0全家桶、Webpack项目构建与打包、Axious数据请求、Canvas、移动设备API、百度Echarts、H5地理定位应用
4、HTTP协议、Node.js、NPM、Express框架实战、MongDB数据库应用、PHP开发、MYSQL
5、微信小程序、Git项目版本管理、Linux终端命令、阿里云ECS云服务器、全栈开发实战
各位小伙伴们,如果你有任何相关专业的问题,不清楚的,不明白的,随时都可以找我们咨询,宿迁市上元教育永远欢迎大家。上元教育拥有一套完整的课程体系,和丰富的师资储备,一定全心全力为学员服务。
咨询地址:宿迁市宿城区宝龙24街8号楼303室上元教育(宝龙永和豆浆对面三楼)
联系我时,请说是在老客网上看到的,谢谢!