freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

常見的web安全性測試點(編輯修改稿)

2025-09-01 05:52 本頁面
 

【文章內(nèi)容簡介】 一張進行了混淆處理的圖片上?!  ⌒薷拿艽a是否需要輸入舊口令  測試方法:  進入系統(tǒng)的口令修改界面,查看是否必須輸入舊口令,如果不需要則存在漏洞?! ⌒薷慕ㄗh:  用戶修改密碼時必須提供舊密碼,且新密碼不能與舊密碼相同,密碼要有一定復雜度,參見口令規(guī)則建議。   默認賬戶名稱設置  一般系統(tǒng)均設有默認登錄用戶,以及超級管理員賬號,如登錄賬號過于簡單將易被破解,造成超級權限泄露。  修改建議:  上線系統(tǒng)清除超級管理員權限用戶,或增加超級管理員登錄名復雜度,不要設置成易猜測的admin、superadmin等名稱。   錯誤的頁面信息  40500等錯誤或警告消息,可能會泄露敏感信息。  修改建議:  捕獲異常跳轉(zhuǎn)至統(tǒng)一錯誤頁面,避免對外泄漏詳細錯誤信息。    查看登錄成功后會話標識是否變更。如果未變更,那么攻擊者就可以通過一些手段(如構造URL)為受害著確定一個會話標識,當受害者登錄成功后,攻擊者也可以利用這個  會話標識冒充受害者訪問系統(tǒng)?! y試方法:  啟動抓包工具或瀏覽器自帶開發(fā)者模式打開登錄頁面,輸入正確的用戶名、口令以及驗證碼,進行登錄,登錄后,進行任意一項業(yè)務操作。如果登錄的SessionId和進行業(yè)務的SessionId沒有變化,則說明存在漏洞?! ⌒薷慕ㄗh:  對每次請求都從上次請求獲得令牌,服務端對每次交互都進行驗證  查看是否存在瀏覽器窗口閑置超時后需重新登錄的機制    測試方法:  打開登錄界面,輸入正確的用戶名和口令,進行登錄,進行一項業(yè)務操作,將瀏覽器空閑超過30分鐘,在進行其他業(yè)務操作,如果能夠進行其他業(yè)務操作,則說明存在漏洞?! ⌒薷慕ㄗh:  需要在后臺進行配置Session的超時時間?!   ∮脩糇N后會話信息需要清除,否則會導致用戶在點擊注銷按鈕之后還能繼續(xù)訪問注銷之前才能訪問的頁面?! y試方法:  進入登錄頁面,輸入正確的用戶名和密碼,登錄成功后,進行一些業(yè)務操作,點擊注銷按鈕,在瀏覽器輸入地址,輸入上面進行業(yè)務操作的地址,如果能夠正常返回業(yè)務頁面,則說明存在漏洞。  修改建議:  在用戶注銷后,必須將用戶的Session信息以及緩存信息全部清空。 6其他    目錄列表能夠造成信息泄漏,而且對于攻擊者而言是非常容易進行的。所以在測試過程中,要注意目錄列表漏洞?! y試方法:  通過瀏覽器訪問web 服務器上的所有目錄,檢查是否返回目錄結構,如果顯示的是目錄結構,則可能存在安全問題;  或使用DirBuster軟件進行測試;  修改建議:   域都使用Allow 、Deny 等指令設置,嚴格設定WEB服務器的目錄訪問權限;   指令下的Indexes 設置項;    文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴造成的,如果文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型,攻擊者可通過 Web 訪問的目錄上傳任意文件,包括網(wǎng)站后門文件(webshell),
點擊復制文檔內(nèi)容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1