当前位置: 首页 > news >正文

安全测试的漏洞类型

目录

一、安全测试的定义

二、安全测试的分类

1、静态扫描

2、内存扫描

3、动态安全测试

三、安全测试主要关注哪些方面的漏洞

漏洞一:SQL注入

漏洞二:XSS 

漏洞三:暴力破解

漏洞四:文件包含文件上传漏洞

漏洞五: 越权漏洞

漏洞六:信息泄露

四、预防

XSS预防

暴力破解预防

文件上传漏洞预防

越权漏洞防御


一、安全测试的定义

安装测试就验证软件安全等级和识别软件中存在安全风险

二、安全测试的分类

1、静态扫描

主要是验证开发好的代码是否存在漏洞.

2、内存扫描

杀毒软件

3、动态安全测试

模拟黑客对系统进行攻击

三、安全测试主要关注哪些方面的漏洞

漏洞一:SQL注入

在网站涉及数据库操作的功能中,修改上传的参数,拼接网站原有的SQL语句,达到获取或篡改网站数据等目的。

更多操作1.查询页面文本框 1.1. ' or 1=1

漏洞二:XSS 

XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击

xss攻击主要分为两类:反射型、存储型

恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的

存储型XSS的原理是:主要是将恶意代码上传或存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码

漏洞三:暴力破解

也称枚举法、穷举法,英文名是Brute Force Attack,指攻击者通过系统的组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息,攻击者会经常使用自动化的脚本工具组合出正确的用户名和密码。常见的暴力破解工具有(BurpSuite、Hydra等)

漏洞四:文件包含文件上传漏洞

文件包含定义:代码中允许通过包含其它文件来实现某些功能,黑客利用了代码中的这种机制来注入和触发恶意代码,以达到险恶的目的。该漏洞可能出现于jsp、php、asp等程序中

漏洞五: 越权漏洞

用户在对数据进行增删改查的时候,访问了不属于自己权限范围内的数据,称为越权。越权漏洞指系统开发过程中未对用户权限做严格校验导致越权的出现。

越权的两个类型: 水平越权 垂直越权

漏洞六:信息泄露

防止操作项目的时候,页面提示信息或者弹框中显示或者暴漏个人信息或者时表信息,或者系统信息

四、预防

XSS预防

在测试的时候,我们在问本框中输入"<script>alert('xss')</script>" 或者<script>alert(document.cookie)</script>,然后提交到服务器,然后再或者这个数据,如果页面不弹窗

如果有xss的防护,如果弹窗则说明有xss的漏洞风险

暴力破解预防

增加验证码(图片验证码、滑块验证等机制)

密码错误账户存在锁定机制。例如错误超过9次,账户锁定5-30分钟

设置口令密码可以复杂一点,让长度不低于8位,包含字母数字下划线特殊字符

修改口令时,需对原始口令进行校验:修改的新口令需不能与历史口令相同(和需求定义维持)口令加密传输:截取请求包,需实现口令每次加密后的加密串不能相同。

存在定期更新机制:更新机制至少要在半年及半年以下(和需求定义维持)

文件上传漏洞预防

1、对上传的文件在服务器上存储时进行重命名

3、检查上传文件的类型和大小

4、上传文件要保存的文件名和目录名由系统根据时间生成,不允许用户自定义

5、客户端校验不可信,必须在服务端进行校验

越权漏洞防御

服务端必须做操作权限和数据权限的校验

不要认为界面上看不到的地址用户就不会访问到,每一级别用户可以访问到的界面,都必须针对这一级的用户进行权限校验

必须对用户的类型做权限校验,建议做一个完善的权限校验框架

相关文章:

安全测试的漏洞类型

目录 一、安全测试的定义 二、安全测试的分类 1、静态扫描 2、内存扫描 3、动态安全测试 三、安全测试主要关注哪些方面的漏洞 漏洞一&#xff1a;SQL注入 漏洞二&#xff1a;XSS 漏洞三&#xff1a;暴力破解 漏洞四&#xff1a;文件包含文件上传漏洞 漏洞五&#…...

51 | 适配器模式:代理、适配器、桥接、装饰,这四个模式有何区别?

前面几篇文章我们学习了代理模式、桥接模式、装饰器模式&#xff0c;今天&#xff0c;我们再来学习一个比较常用的结构型模式&#xff1a;适配器模式。这个模式相对来说还是比较简单、好理解的&#xff0c;应用场景也很具体&#xff0c;总体上来讲比较好掌握。 关于适配器模式…...

ORM框架简介

什么是ORM&#xff1f; ORM&#xff08;Object-Relational Mapping&#xff0c;对象关系映射&#xff09;是一种编程技术&#xff0c;用于在关系数据库和对象程序语言之间转换数据。ORM框架允许开发者以面向对象的方式来操作数据库&#xff0c;而不需要编写复杂的SQL语句。简单…...

Windows系统上根据端口号查找对应进程

“开始”-“运行”&#xff0c;输入cmd&#xff0c;打开命令行窗口&#xff0c;输入netstat和findstr的组合&#xff0c;找出占用了4118的端口的进程 根据上述PID&#xff0c;使用tasklist和findstr的组合&#xff0c;找出对应进程是dsa.exe 要想kill此进程&#xff0c;可以打开…...

一文通透OpenAI o1:从CoT、Quiet-STaR、Self-Correct、Self-play RL、MCST等技术细节到工程复现

前言 注意&#xff0c;本文自10.12日起&#xff0c;正在每天更新的过程中&#xff0c;包括已写的部分也在不断修改(以增加更多技术细节、更加通俗易懂) 预计10.20完成第一版&#xff0c;10月底修订到第二版——具体修订记录详见本文文末.. 可能是去年写或讲的关于ChatGPT原理的…...

如何解决与kernel32.dll相关的常见错误:详细指南解析kernel32.dll文件缺失、损坏或错误加载问题

当你的电脑中出现错误kernel32.dll丢失的问题&#xff0c;会导致电脑不能出现正常运行&#xff0c;希望能够有效的帮助你有效的将丢失的kernel32.dll文件进行修复同时也给大家介绍一些关于kernel32.dll文件的相关介绍&#xff0c;希望能够有效的帮助你快速修复错误。 kernel32.…...

Caffeine Cache解析(一):接口设计与TinyLFU

Caffeine is a high performance Java caching library providing a near optimal hit rate. 自动加载value, 支持异步加载基于size的eviction&#xff1a;frequency and recency基于时间的过期策略&#xff1a;last access or last write异步更新valuekey支持weak referenceva…...

深入探索LINUX中AWK命令:强大的文本处理工具

深入探索LINUX中AWK命令&#xff1a;强大的文本处理工具 AWK 是一种编程语言&#xff0c;专为文本和数据处理设计&#xff0c;它以其强大的文本处理能力和简洁的语法在 Unix/Linux 系统中占据了重要地位。AWK 程序由一系列的模式(pattern)和动作(action)组成&#xff0c;对于输…...

数字化转型:解决项目管理困境的新路径

在当今这个飞速发展的数字化时代&#xff0c;企业如同在汹涌波涛中航行的船只&#xff0c;承受着前所未有的变革压力。而作为企业运作核心环节之一的项目管理&#xff0c;同样面临着巨大的挑战。 传统项目管理模式中的种种问题&#xff0c;犹如顽固的礁石&#xff0c;阻碍着项目…...

Arthas常用的命令(三)--monitor、jad 、stack

monitor&#xff1a;监控方法的执行情况 监控指定类中方法的执行情况 用来监视一个时间段中指定方法的执行次数&#xff0c;成功次数&#xff0c;失败次数&#xff0c;耗时等这些信息 参数说明 方法拥有一个命名参数 [c:]&#xff0c;意思是统计周期&#xff08;cycle of ou…...

Power BI之常用DAX函数使用介绍——提供数据源练习

前述&#xff1a; 本次使用数据是包含产品表、客户表、区域表、销售订单表的一份销售订单数据&#xff0c;数据源链接如下&#xff1a; 链接&#xff1a;https://pan.baidu.com/s/1micl_09hFrgz2aUBERkeZg 提取码&#xff1a;y17e 一、CALCULATE 1.语法结构 语法结构CALCUL…...

SQL-触发器(trigger)的详解以及代码演示

一、触发器的概念 触发器是一种特殊的存储过程&#xff0c;但是触发器不存在输入和输出参数&#xff0c;所以不能被显式的去调用&#xff0c;而是与特定的表相关联&#xff0c;当表中的数据发生变化时&#xff0c;触发器被激活并执行其定义的SQL代码。触发器可以是行级触发器&…...

【devops】x-ui 实现一键安装 x-ray 打造高速国际冲浪 | xray管理平台

一、部署X-UI篇 1、Github 地址&说明 github地址如下&#xff1a; https://github.com/FranzKafkaYu/x-ui?tabreadme-ov-file 2、一键部署 2.1、更新并安装curl #Ubuntu、Deibian系统 apt update && apt upgrade -y apt install curl -y #CentOS7 系统 yum…...

Linux系统编程——进程标识、进程创建

一、进程标识&#xff08;pid&#xff09; 每个进程都有一个非负整数形式的唯一编号&#xff0c;即 PID。PID 在任何时刻都是唯一的&#xff0c;但是可以重用&#xff0c;当进程终止并被回收以后&#xff0c;其 PID 就可以为其它进程所用。进程的 PID 由系统内核根据延迟重用算…...

【超级福利】openMind开源实习来袭,奖励高达万元,解锁你的AI实践新篇章!

亲爱的小伙伴们&#xff0c;是不是梦想着能在真实的项目中大展拳脚&#xff0c;却又苦于找不到合适的舞台&#xff1f;别担心&#xff0c;OpenI启智社区携手openMind Library工具链&#xff0c;为你量身打造了一场开源实习盛宴&#xff0c;保证让你的学习不再无聊&#xff0c;技…...

React JSX 使用条件语句渲染UI的两种写法

只针对函数组件 1. 第一种写法&#xff1a; function App({ id }) {return id1? <h1>hello</h1> : <h1>world</h1>; } 或者&#xff1a; function App({ id }) {return (<h1>{id1 && "hello" || id2 && "wo…...

谷歌-BERT-第四步:模型部署

1 需求 需求1&#xff1a;基于gradio实现大模型的WEB UI交互界面 2 接口 3 示例 import gradio as gr from transformers import *classifier pipeline("text-classification", model"./model", tokenizer"./model")gr.Interface.from_pipel…...

猫咪化身蒲公英,浮毛满屋乱飞,有哪些宠物空气净化器值得购买?

不掉毛的猫咪究竟是谁在养&#xff1f; 当初去朋友家玩&#xff0c;被猫咪捕获芳心&#xff0c;没多久自己也领养了一只。没想到啊&#xff0c;这就意味着要和猫毛纠缠一辈子了。平时白天上班不在家&#xff0c;它就在一边跑动一边掉毛&#xff0c;回到家我都能推断它的行动路…...

端到端的开源OCR模型:GOT-OCR-2.0,支持场景文本、文档、乐谱、图表、数学公式等内容识别!

今天给大家分享一个端到端的开源 OCR 模型&#xff0c;号称 OCR 2.0&#xff01; 支持场景文本、文档、乐谱、图表、数学公式等内容识别&#xff0c;拿到了 BLEU 0.972 高分。 从给出的演示图来看&#xff0c;一些非常复杂的数学公式都能正确的识别&#xff0c;颇为强大。模型…...

自注意力机制self-attention中QKV矩阵的含义

自注意力机制&#xff08;Self-Attention&#xff09;是Transformer模型的核心组件&#xff0c;其中Q、K、V矩阵分别代表查询&#xff08;Query&#xff09;、键&#xff08;Key&#xff09;、值&#xff08;Value&#xff09;。它们的作用和含义可以通过信息匹配过程来理解。在…...

Vue记事本应用实现教程

文章目录 1. 项目介绍2. 开发环境准备3. 设计应用界面4. 创建Vue实例和数据模型5. 实现记事本功能5.1 添加新记事项5.2 删除记事项5.3 清空所有记事 6. 添加样式7. 功能扩展&#xff1a;显示创建时间8. 功能扩展&#xff1a;记事项搜索9. 完整代码10. Vue知识点解析10.1 数据绑…...

CVPR 2025 MIMO: 支持视觉指代和像素grounding 的医学视觉语言模型

CVPR 2025 | MIMO&#xff1a;支持视觉指代和像素对齐的医学视觉语言模型 论文信息 标题&#xff1a;MIMO: A medical vision language model with visual referring multimodal input and pixel grounding multimodal output作者&#xff1a;Yanyuan Chen, Dexuan Xu, Yu Hu…...

k8s从入门到放弃之Ingress七层负载

k8s从入门到放弃之Ingress七层负载 在Kubernetes&#xff08;简称K8s&#xff09;中&#xff0c;Ingress是一个API对象&#xff0c;它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress&#xff0c;你可…...

Qt Widget类解析与代码注释

#include "widget.h" #include "ui_widget.h"Widget::Widget(QWidget *parent): QWidget(parent), ui(new Ui::Widget) {ui->setupUi(this); }Widget::~Widget() {delete ui; }//解释这串代码&#xff0c;写上注释 当然可以&#xff01;这段代码是 Qt …...

Frozen-Flask :将 Flask 应用“冻结”为静态文件

Frozen-Flask 是一个用于将 Flask 应用“冻结”为静态文件的 Python 扩展。它的核心用途是&#xff1a;将一个 Flask Web 应用生成成纯静态 HTML 文件&#xff0c;从而可以部署到静态网站托管服务上&#xff0c;如 GitHub Pages、Netlify 或任何支持静态文件的网站服务器。 &am…...

Spring Boot面试题精选汇总

&#x1f91f;致敬读者 &#x1f7e9;感谢阅读&#x1f7e6;笑口常开&#x1f7ea;生日快乐⬛早点睡觉 &#x1f4d8;博主相关 &#x1f7e7;博主信息&#x1f7e8;博客首页&#x1f7eb;专栏推荐&#x1f7e5;活动信息 文章目录 Spring Boot面试题精选汇总⚙️ **一、核心概…...

工业自动化时代的精准装配革新:迁移科技3D视觉系统如何重塑机器人定位装配

AI3D视觉的工业赋能者 迁移科技成立于2017年&#xff0c;作为行业领先的3D工业相机及视觉系统供应商&#xff0c;累计完成数亿元融资。其核心技术覆盖硬件设计、算法优化及软件集成&#xff0c;通过稳定、易用、高回报的AI3D视觉系统&#xff0c;为汽车、新能源、金属制造等行…...

Map相关知识

数据结构 二叉树 二叉树&#xff0c;顾名思义&#xff0c;每个节点最多有两个“叉”&#xff0c;也就是两个子节点&#xff0c;分别是左子 节点和右子节点。不过&#xff0c;二叉树并不要求每个节点都有两个子节点&#xff0c;有的节点只 有左子节点&#xff0c;有的节点只有…...

Device Mapper 机制

Device Mapper 机制详解 Device Mapper&#xff08;简称 DM&#xff09;是 Linux 内核中的一套通用块设备映射框架&#xff0c;为 LVM、加密磁盘、RAID 等提供底层支持。本文将详细介绍 Device Mapper 的原理、实现、内核配置、常用工具、操作测试流程&#xff0c;并配以详细的…...

stm32wle5 lpuart DMA数据不接收

配置波特率9600时&#xff0c;需要使用外部低速晶振...