- 1、本文档共12页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《17BQConf_02_安全测试web scrity pdf》.pdf
Web Security In QA daily work
ThoughtWorks
passionate
We are not security experts,
but QA Enginners passionate about quality
love
什么是OWASP
开源web应⽤安全项⺫(OWASP)是⼀个开放的社区,致⼒于帮助
各企业组织开发、购买和维护可信任的应⽤程序。
在OWASP,您可以找到以下免费和开源的信息.
• 应⽤安全⼯具和标准
• 关于应⽤安全测试、安全代码开发和安全代码审查⽅⾯的全⾯
书籍
• 标准的安全控制和安全库
OWASP TOP 10 SECURITY ISSUES
A1 – 注⼊(Injection)
• 注⼊攻击漏洞,例如SQL,OS以及 LDAP注⼊。这些攻击发⽣在当不可信的数据作
为命令或者查询语句的⼀部分,被发送给解释器的时候。攻击者发送的恶意数据可
以欺骗解释器,以执⾏计划外的命令或者在未被恰当授权时访问数据。
A2 – 失效的⾝份认证和会话管理(Broken Authentication Session
Management)
• 与⾝份认证和会话管理相关的应⽤程序功能往往得不到正确的实现,这就导致了
攻击者破证和会话管理坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他⽤
户的⾝份。
/sale/saleitems;jsessionid=
2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
OWASP TOP 10 SECURITY ISSUES
A3 –跨站脚本 (XSS)
• 当应⽤程序收到含有不可信的数据,在没有进⾏适当的验证和转义的情况下,就将
它发送给⼀个⺴⻚浏览器,这就会产⽣跨站脚本攻击(简称XSS) 。XSS允许攻击者
在受害者的浏览器上执⾏脚本,从⽽劫持⽤户会话、危害⺴站、或者将⽤户转向⾄
恶意⺴站。
A4 – 不安全的直接对象引⽤(Insecure Direct Object
References)
• 当开发⼈员暴露⼀个对内部实现对象的引⽤时,例如,⼀个⽂件、⺫录或者数据库
密匙, 就会产⽣⼀个不安全的直接对象引⽤。在没有访问控制检测或其他保护时,
攻击者会操控这些引⽤去访问未授权数据。
http://localhost/dvwa/phpinfo.php
OWASP TOP 10 SECURITY ISSUES
A5–安全配置错误(Security Misconfiguration)
• 好的安全需要对应⽤程序、框架、应⽤程序服务器、web服务器、数据库服务器
和平台定义和执⾏安全配置。由于许多设置的默认值并不是安全的,因此,必须定
义、实施和维护这些设置。这包含了对所有的软件保持及时地更新,包括所有应⽤
程序的库⽂件。
http://localhost//dvwa/vulnerabilities/
A6 – 敏感信息泄漏(Sensitive Data Exposure)
• 许多Web应⽤程序没有正确保护敏感数据,如信⽤卡,税务ID和⾝份验证凭据。攻
击者可能会窃取或篡改这些弱保护的数据以进⾏信⽤卡诈骗、⾝份窃取,或其他犯
罪。敏感数据值需额外的保护,⽐如在存放或在传输过程中的加密,以及在与浏览
器交换时进⾏特殊的预防措施。
OWASP TOP 10 SECURITY ISSUES
A7 – 功能级访问控制缺失(Missing Function Level
Access Control)
• ⼤多数Web应⽤程序在功能在UI中可⻅以前,验证功能级别的访问权限。但是,应
⽤程序需要在每个功能被访问时在服务器端执⾏相同的访问控制检查。如果请求
没有被验证,攻击者能够伪造请求以在未经适当授权时访问功能。
/app/getappInfo
/app/admi
您可能关注的文档
- 《04_Web测试自动化_20160720》.pdf
- 《05 Interaction of A Cavitation Bubble and An Air Bubble with a Rigid Boundary 》.pdf
- 《07Catalog-accessories》.pdf
- 《09 The counter jet formation in an air bubble induced by the impact of shock waves》.pdf
- 《09老子道德经注(魏&王弼撰)》.pdf
- 《1 ANSYS分析过程》.pdf
- 《1-2 Words and Phrases Related to Air Travel》.ppt
- 《1-Air&CompressedAir-FundamentalTraining》.ppt
- 《1.0.InduSoft Web Studio V7.1体验-宜宾机电一体化-李卫》.pdf
- 《1.金宇传媒&互联网行业培训-分析框架和投资逻辑20160905(28页)》.ppt
最近下载
- 小学生文明守则十条.pdf VIP
- 22G101 三维彩色立体图集.docx
- 胖东来服务培训ppt课件.pptx
- 气道净化护理(2023年中华护理学会团体标准).pptx VIP
- 小区高清网络视频监控设计实施方案.doc VIP
- BY酒店员工职业倦怠感研究.docx
- GBT30789.2-2014 色漆和清漆 涂层老化的评价 缺陷的数量和大小以及外观均匀变化程度的标识:第2部分:起泡等级的评定.pdf
- 语言运用之选用、仿用、变换句式教学案.pdf VIP
- 2024-2025学年四年级语文上册统编版期末综合复习.pdf VIP
- 必威体育精装版国家开放大学电大专科《管理学基础》2024期末试题及答案(试卷号.pdf VIP
文档评论(0)