正文內(nèi)容

常見的web安全性測試點(編輯修改稿)

2024-09-01 05:52 本頁面

　

【文章內(nèi)容簡介】一張進(jìn)行了混淆處理的圖片上?！　　⌒薷拿艽a是否需要輸入舊口令　　測試方法：　　進(jìn)入系統(tǒng)的口令修改界面，查看是否必須輸入舊口令，如果不需要則存在漏洞。　　修改建議：　　用戶修改密碼時必須提供舊密碼，且新密碼不能與舊密碼相同，密碼要有一定復(fù)雜度，參見口令規(guī)則建議?！　?默認(rèn)賬戶名稱設(shè)置　　一般系統(tǒng)均設(shè)有默認(rèn)登錄用戶，以及超級管理員賬號，如登錄賬號過于簡單將易被破解，造成超級權(quán)限泄露?！　⌒薷慕ㄗh：　　上線系統(tǒng)清除超級管理員權(quán)限用戶，或增加超級管理員登錄名復(fù)雜度，不要設(shè)置成易猜測的admin、superadmin等名稱?！　?錯誤的頁面信息　　40500等錯誤或警告消息，可能會泄露敏感信息?！　⌒薷慕ㄗh：　　捕獲異常跳轉(zhuǎn)至統(tǒng)一錯誤頁面，避免對外泄漏詳細(xì)錯誤信息?！　　　〔榭吹卿洺晒髸挊?biāo)識是否變更。如果未變更，那么攻擊者就可以通過一些手段（如構(gòu)造URL）為受害著確定一個會話標(biāo)識，當(dāng)受害者登錄成功后，攻擊者也可以利用這個　　會話標(biāo)識冒充受害者訪問系統(tǒng)?！　y試方法：　　啟動抓包工具或瀏覽器自帶開發(fā)者模式打開登錄頁面，輸入正確的用戶名、口令以及驗證碼，進(jìn)行登錄，登錄后，進(jìn)行任意一項業(yè)務(wù)操作。如果登錄的SessionId和進(jìn)行業(yè)務(wù)的SessionId沒有變化，則說明存在漏洞。　　修改建議：　　對每次請求都從上次請求獲得令牌，服務(wù)端對每次交互都進(jìn)行驗證　　查看是否存在瀏覽器窗口閑置超時后需重新登錄的機制　　　　測試方法：　　打開登錄界面，輸入正確的用戶名和口令，進(jìn)行登錄，進(jìn)行一項業(yè)務(wù)操作，將瀏覽器空閑超過30分鐘，在進(jìn)行其他業(yè)務(wù)操作，如果能夠進(jìn)行其他業(yè)務(wù)操作，則說明存在漏洞?！　⌒薷慕ㄗh：　　需要在后臺進(jìn)行配置Session的超時時間?！　　　∮脩糇N后會話信息需要清除，否則會導(dǎo)致用戶在點擊注銷按鈕之后還能繼續(xù)訪問注銷之前才能訪問的頁面。　　測試方法：　　進(jìn)入登錄頁面，輸入正確的用戶名和密碼，登錄成功后，進(jìn)行一些業(yè)務(wù)操作，點擊注銷按鈕，在瀏覽器輸入地址，輸入上面進(jìn)行業(yè)務(wù)操作的地址，如果能夠正常返回業(yè)務(wù)頁面，則說明存在漏洞?！　⌒薷慕ㄗh：　　在用戶注銷后，必須將用戶的Session信息以及緩存信息全部清空。 6其他　　　　目錄列表能夠造成信息泄漏，而且對于攻擊者而言是非常容易進(jìn)行的。所以在測試過程中，要注意目錄列表漏洞?！　y試方法：　　通過瀏覽器訪問web 服務(wù)器上的所有目錄，檢查是否返回目錄結(jié)構(gòu)，如果顯示的是目錄結(jié)構(gòu)，則可能存在安全問題；　　或使用DirBuster軟件進(jìn)行測試；　　修改建議：　　域都使用Allow 、Deny 等指令設(shè)置，嚴(yán)格設(shè)定WEB服務(wù)器的目錄訪問權(quán)限；　　指令下的Indexes 設(shè)置項；　　　　文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴(yán)造成的，如果文件上傳功能實現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型，攻擊者可通過 Web 訪問的目錄上傳任意文件，包括網(wǎng)站后門文件（webshell），

點擊復(fù)制文檔內(nèi)容

環(huán)評公示相關(guān)推薦

如何用iis建立高安全性web服務(wù)器-資料下載頁

【總結(jié)】IIS（InterInformationServer）作為當(dāng)今流行的Web服務(wù)器之一，提供了強大的Inter和Intra服務(wù)功能，如何加強IIS的安全機制，建立一個高安全性能的Web服務(wù)器，已成為IIS設(shè)置中不可忽視的重要組成部分。本文將通過以下兩個方面來闡述加強IIS安全機制的方法。一、以WindowsNT的安全機制為基礎(chǔ)作為

2025-01-17 05:20

安全性關(guān)于確保農(nóng)民增收安全性的調(diào)查與思考-資料下載頁

【總結(jié)】第1頁共5頁安全性關(guān)于確保農(nóng)民增收安全性的調(diào)查與思考【摘要】：解決quot。三農(nóng)quot。問題的核心是實現(xiàn)農(nóng)民持續(xù)穩(wěn)定增收。當(dāng)前，農(nóng)村和農(nóng)業(yè)形勢發(fā)生了新的變化，如何確保農(nóng)民增收 ...

2024-09-20 01:45

pgp的安全性-資料下載頁

【總結(jié)】PGP的安全性內(nèi)容提要◎前言◎IDEA的安全性問題◎RSA的安全性問題●選擇密文攻擊●過小的加密指數(shù)e●RSA的計時攻擊法●其他對RSA的攻擊法◎MD5的安全性問題●對MD5的普通直接攻擊●對MD5的生日攻擊●其他對MD5的攻擊●口令長度和

2025-08-04 09:45

醫(yī)用電氣設(shè)備的安全性測試方法-資料下載頁

【總結(jié)】第六章醫(yī)用電氣設(shè)備的安全性測試方法2第一節(jié)安全檢測的通用條件?試驗的通用條件?試驗?本標(biāo)準(zhǔn)中規(guī)定的試驗都是型式試驗。僅僅是那些在正常狀態(tài)或單一故障狀態(tài)一旦損壞就會引起安全方面危險的絕緣、元件和結(jié)構(gòu)細(xì)節(jié)才必須試驗。?重復(fù)試驗?除非本標(biāo)準(zhǔn)中另有規(guī)定，不應(yīng)重復(fù)試驗。這特別適合于在制造廠或檢測實驗室進(jìn)行的電介質(zhì)

2025-01-01 06:54

常見五種安全plc的冗余系統(tǒng)結(jié)構(gòu)和安全性可靠性分析-資料下載頁

【總結(jié)】常用安全PLC的結(jié)構(gòu)和性能【摘要】本文介紹了幾種常見的安全PLC的結(jié)構(gòu)和性能，然后對各種安全PLC的特性進(jìn)行了歸納和總結(jié)?！娟P(guān)鍵詞】安全PLCN選X系統(tǒng)三重冗余四重冗余Abstract:ThearticleanalysesseveralpopularsafetyPLC’sarchitectureandperforman

2025-06-29 13:23

基于asp點net的web安全性評估設(shè)計與實現(xiàn)畢業(yè)論文-資料下載頁

【總結(jié)】基于ASP點NET的Web安全性評估設(shè)計與實現(xiàn)畢業(yè)論文目錄摘要 IIAbstract III目錄 IV第一章緒論 1引言 1研究背景和現(xiàn)狀分析 1研究內(nèi)容和意義 2 2 4第二章相關(guān)技術(shù)知識簡介 5 5OWASPTOP10評估方法簡介 5ATAM方法簡介 5 5MVC基本概念 6

2025-06-28 00:56

[精選]aed的安全性-資料下載頁

【總結(jié)】復(fù)旦大學(xué)附屬華山醫(yī)院神經(jīng)內(nèi)科王開顏AEDs的安全性2前言?癲癇是一種遷延日久慢性疾病，需要長期不間斷AEDs治療?AEDs是通過干預(yù)某些病理性機制而表現(xiàn)抗癇作用。與此同時，正常生理功能亦受到不同程度的影響。因此，所有AEDs均具有安全性的問題。3主要議題

2025-01-23 18:35

internet的安全性(1)-資料下載頁

【總結(jié)】第8章Inter的安全性Inter/Intra的安全概述網(wǎng)頁中的新技術(shù)與IE的安全性電子郵件與OutlookExpress的安全I(xiàn)IS服務(wù)器的安全本章小結(jié)練習(xí)題?Inter是全世界最大、覆蓋面最廣的計算機互聯(lián)網(wǎng)絡(luò)。它不僅僅把眾多計算機連接起來，而更重要的是Inter中含有極其豐富的信息資源。因此，人們

2025-03-12 21:48

[精選]安全性的侵犯-資料下載頁

【總結(jié)】「安全性的侵犯」(SecurityAttack)?安全性的侵犯(SecurityAttack)是指外來或是內(nèi)部引發(fā)的行動，造成資料的損害或是變更?由於程式本身也可以看成是資料的一種，安全性的侵犯也會造成系統(tǒng)無法正常運作系統(tǒng)的安全違規(guī)(securityviolation)?蓄意的(intentional或malicious

2025-01-08 11:36

安全性評價工作-資料下載頁

【總結(jié)】第1頁共2頁安全性評價工作城市電網(wǎng)安全性評價，旨在采用危險評估的方法進(jìn)行查評診斷，分析城市電網(wǎng)的安全狀況，掌握存在的危險因素及嚴(yán)重程度，明確反事故工作的重點和反事故措施，達(dá)到實現(xiàn)超...

2024-09-18 16:50

安全性評價之我見-資料下載頁

【總結(jié)】第1頁共3頁安全性評價之我見安全性評價從開展以來，我們也多次到先進(jìn)單位去學(xué)習(xí)安全性評價的經(jīng)驗，從實踐來看，安全性評價無論從軟件管理還是硬件管理，供電所在安全方面起了革命性變化，安全...

2024-09-20 01:41

對我國橋梁結(jié)構(gòu)安全性和耐久性的研究保持橋梁耐久性和安全性的措施-資料下載頁

【總結(jié)】對我國橋梁結(jié)構(gòu)安全性和耐久性的研究保持橋梁耐久性和安全性的措施摘要：國內(nèi)現(xiàn)行規(guī)范對橋梁設(shè)計提出的要求是適用、經(jīng)濟、安全、美觀，這些要求基本上包含了人們關(guān)心的所有重要問題。關(guān)鍵詞：公路橋梁；橋梁...

2024-09-30 19:50

工程結(jié)構(gòu)的安全性與耐久性-資料下載頁

【總結(jié)】工程結(jié)構(gòu)的安全性與耐久性 1．混凝土的腐蝕主要有凍融破壞和化學(xué)腐蝕，配置混凝土?xí)r加入化學(xué)引氣劑可以在混凝土體內(nèi)產(chǎn)生大量的封閉微細(xì)氣泡，是防止混凝土凍融破壞的最有效手段。 2．鋼筋混凝土的種種劣...

2024-11-17 00:03

電力安全性評價-資料下載頁

【總結(jié)】第1頁共5頁電力安全性評價篇一：電力企業(yè)（公司）安全性評價自查及整改措施范文電力企業(yè)（公司）安全性評價自查及整改措施范文安全性評價自查及整改為貫徹落實我局以“安全性評價的不...

2024-09-20 10:07

他汀安全性的認(rèn)識-資料下載頁

【總結(jié)】他汀安全性的認(rèn)識山東大學(xué)附屬濟南市中心醫(yī)院蘇國海?他汀的肝臟安全性?他汀與肌病?老年人使用他汀的安全性他汀治療期間出現(xiàn)肝酶異常肝功能化驗單代號檢驗項目結(jié)果參考值A(chǔ)LT*谷丙轉(zhuǎn)氨酶80↑5-40U/LAST*谷草轉(zhuǎn)氨酶70↑

2025-03-12 23:14