我们一样平常说的Web运用攻击,是指攻击者通过浏览器或者其他的攻击工具,在URL或者其他的输入区域(如表单等),向Web做事器发送分外的要求,从中创造Web运用程序中存在的漏洞,进而操作和掌握网站,达到入侵者的目的。
常见安全漏洞
一、SQL注入
SQL注入(SQL Injection),是最常见影响非常广泛的漏洞。攻击者通过把SQL命令插入到Web表单递交或输入域名或页面要求的查询字符串,终极达到欺骗做事器实行恶意的SQL命令,从而入侵数据库来实行未授意的任意查询。
SQL注入可能造成的危害有:网页、数据被修改,核心数据被盗取,数据库所在的做事器被攻击,变成傀儡主机。
例如有些网站没有利用预编译sql,用户在界面上输入的一些字段被添加到sql中,很有可能这些字段包含一些恶意的sql命令。如:password = “1′ OR ‘1’=’1″;纵然不知道用户密码,也能正常登录。
测试方法:
在须要进行查询的页面,输入精确查询条件 and 1=1等大略sql语句,查看应答结果,如与输入精确查询条件返回结果同等,表明运用程序对用户输入未进行过滤,可以初步判断此处存在SQL注入漏洞
二、XSS跨站脚本攻击
SS(Cross Site Script),与SQL注入相似,XSS是通过网页插入恶意脚本,紧张用到的技能也是前真个HTML和JavaScript脚本。当用户浏览网页时,实现掌握用户浏览器行为的攻击办法。
一次成功的XSS,可以获取到用户的cookie,利用该cookie盗取用户对该网站的操作权限;也可以获取到用户联系人列表,利用被攻击者的身份向特定的目标群发送大量的垃圾信息,等等。
XSS分为三类:存储型(持久性XSS)、反射型(非持久性XSS)、DOM型。
测试方法:
在数据输入界面,输入:<script>alert(/123/)</script>,保存成功后如果弹出对话框,表明此处存在一个XSS 漏洞。
或把url要求中参数改为<script>alert(/123/)</script>,如果页面弹出对话框,表明此处存在一个XSS 漏洞。
三、CSRF跨站假造要求攻击
CSRF(Cross Site Request Forgery),利用已登录的用户身份,以用户的名义发送恶意要求,完成造孽操作。
例如:用户如果浏览并信赖了存在CSRF漏洞的网站A,浏览器产生了相应的cookie,用户在没有退出该网站的情形下,访问了危险网站B 。
危险网站B哀求访问网站A,发出一个要求。浏览器带着用户的cookie信息访问了网站A,由于网站A不知道是用户自身发出的要求还是危险网站B发出的要求,以是就会处理危险网站B的要求,这样就完成了仿照用户操作的目的。这便是CSRF攻击的基本思想。
测试方法:
1.同个浏览器打开两个页面,一个页面权限失落效后,另一个页面是否可操作成功,如果仍旧能操作成功即存在风险。
2.利用工具发送要求,在http要求头中不加入referer字段,考验返回的应答,该当重新定位到缺点界面或者登录界面。
四、文件上传漏洞
文件上传攻击是指攻击者上传了一个可实行文件到做事器上,并实行。
这种攻击办法是最直接有效的。上传的文件可以是病毒、木马、恶意脚本或者是webshell等等。
Webshell因此asp、php、jsp或者cgi等网页文件形式存在的一种命令实行环境,也可以说是一种网页后门。攻击者在受影响系统防止或插入webshell后,可以通过webshell方便进入系统,达到掌握网站做事器的目的。
测试方法:
对上传的文件类型、大小等进行严格校验,禁止上传恶意代码的文件。
对干系目录的实行权限进行校验,可以通过浏览器访问Web 做事器上的所有目录,检讨是否返回目录构造,如果显示的是目录构造,则可能存在安全问题。
五、URL跳转漏洞
URL跳转漏洞,即未履历证的重定向漏洞,是指Web程序直接跳转到参数中的URL,或者在页面中引入了任意开拓者的URL,将程序勾引到不屈安的第三方区域,从而导致安全问题。
测试方法:
1.利用抓包工具抓取要求。
2.抓取302的url,修正目标地址,查看是否能跳转。
ps:不过现在很多跳转都加了referer的校验导致攻击者跳转失落败。
总结
以上便是一些常见的Web安全漏洞及测试方法,在当下网络安全越来越被重视的情形下,Web安全测试在测试流程中的主要性也日益凸显,虽然也存在AppScan等漏洞扫描工具,测试职员对常见的安全漏洞也须要有一定的认知。