Was sind die Wissenspunkte für Web-Sicherheitstests?

Was sind Sicherheitstests?

Sicherheitstests sollen den Nachweis erbringen, dass die Anwendung ihre Anforderungen auch angesichts feindseliger und böswilliger Eingaben noch vollständig erfüllen kann.

a. Wir verwenden eine Reihe fehlgeschlagener Ausführungsergebnisse von Sicherheitstestfällen, um nachzuweisen, dass die Webanwendung die Sicherheitsanforderungen nicht erfüllt.

b. Wie sehen Sie die Notwendigkeit von Sicherheitstests? Sicherheitstests hängen stärker von den Anforderungen ab als Funktionstests, da es mehr mögliche Ein- und Ausgänge gibt, die es zu durchsuchen gilt.

Echte Softwaresicherheit bezieht sich eigentlich auf Risikomanagement, das heißt, wir können sicherstellen, dass das Sicherheitsniveau der Software den Geschäftsanforderungen entspricht.

Wie führt man Sicherheitstests durch?

Durch das Hinzufügen von Sicherheitstestfällen, die auf häufigen Angriffen und Schwachstellen basieren, kombiniert mit tatsächlicher Praxis, können Sicherheitstests zu einem einfachen und gemeinsamen Bestandteil der täglichen Funktionstests werden.

Wählen Sie spezielle Grenzwerte mit Sicherheitsimplikationen sowie spezielle Äquivalenzklassen mit Sicherheitsimplikationen und integrieren Sie diese in unsere Testplanungs- und Teststrategieprozesse.

Wenn Sicherheitstests jedoch auf der Grundlage von Funktionstests durchgeführt werden, müssen viele Testfälle hinzugefügt werden. Das bedeutet, dass zwei Dinge getan werden müssen, um es beherrschbar zu machen: den Fokus einzugrenzen und die Tests zu automatisieren.

Welche Testpunkte werden normalerweise bei Web-Sicherheitstests berücksichtigt?

1. Problem: Nicht validierte Eingabe
Testmethode:

Datentyp (Zeichenfolge, Ganzzahl, reelle Zahl usw.)
Zulässiger Zeichensatz# 🎜🎜#

Minimale und maximale Länge

Ob leere Eingaben zulässig sind
Ob der Parameter erforderlich ist
Wiederholung ist zulässig
Wertebereich
Spezifischer Wert (Aufzählung Typ)
Spezifisches Muster (regulärer Ausdruck)

2. Problem: problematische Zugriffskontrolle

Testmethode: #🎜 🎜#

Wird hauptsächlich für Seiten verwendet Sie müssen die URL-Adresse der Seite überprüfen. Überprüfen Sie nach dem Schließen der Seite, ob Sie die kopierte Adresse direkt eingeben können Wenn Sie die Adresse direkt eingeben, können Sie die Seiteninformationen sehen, für die Sie keine Berechtigung haben

3 Falsche Authentifizierung und Sitzungsverwaltung

Beispiel: Die Eingabefelder der Klassen „Grid“, „Label“ und „Tree View“ werden nicht überprüft und der Eingabeinhalt wird gemäß der HTML-Syntax analysiert

4 Pufferüberlauf

#Keine Schlüsseldaten werden verschlüsselt#🎜🎜 #

Beispiel: view-source: http-Adresse Sie können den Quellcode anzeigen, das Kennwort auf der Seite eingeben, die Seite zeigt ***** an, mit der rechten Maustaste klicken, die Quelldatei anzeigen und Sie können das Kennwort sehen, das Sie gerade haben eingegeben
# 🎜🎜#5. Denial of Service

Analyse: Ein Angreifer kann genug Datenverkehr von einem Host generieren, um viele Anwendungen zu erschöpfen, wodurch das Programm schließlich lahmgelegt wird und ein Lastausgleich erforderlich ist #🎜 🎜#6. Unsicheres Konfigurationsmanagement

Analyse: Link-Strings in Config sowie Benutzerinformationen, E-Mails und Datenspeicherinformationen müssen geschützt werden.

Was Programmierer tun sollten: alle Sicherheitsmechanismen konfigurieren, alle nicht verwendeten Dienste ausschalten, Rollenberechtigungskonten einrichten, Protokolle und Warnungen verwenden

Analyse: Benutzernutzungspufferung Bereichsüberlauf zu Durch das Senden speziell geschriebenen Codes an die Webanwendung kann der Angreifer die Webanwendung beliebigen Code ausführen lassen

7. Beispiel: Eine zu überprüfende Seite Benutzeranmeldung,

Wenn die verwendete SQL-Anweisung ist:

Wählen Sie * aus Tabelle A aus, wobei Benutzername＝'' + Benutzername+'' und Passwort… sind.

SQL-Eingabe ' oder 1＝1 ―― Sie können angreifen, ohne ein Passwort einzugeben

8. Unsachgemäße Ausnahmebehandlung

Analyse: Wenn das Programm eine Ausnahme auslöst, Es wird eine relativ detaillierte interne Fehlermeldung ausgegeben, die Ausführungsdetails offenlegt, die nicht angezeigt werden sollten sollte es Benutzern nicht ermöglichen, zu allen Konten auf der Website zu navigieren. Wenn eine Benutzerliste erforderlich ist, wird empfohlen, eine Form von Pseudonym (Bildschirmname) zu verwenden, um auf das tatsächliche Konto zu verweisen.

Browser-Cache: Authentifizierungs- und Sitzungsdaten sollten nicht als Teil von GET gesendet werden, POST sollte verwendet werden

10 Problem: Cross-Site-Scripting (XSS)#🎜🎜 #

Analyse: Angreifer verwenden Cross-Site-Scripting, um bösartigen Code an ahnungslose Benutzer zu senden und alle Informationen auf ihren Computern zu stehlen.

Testmethode:

HTML-Tag:< ;…>…

Escape-Zeichen: &(&);<(<);>(>); (Leerzeichen); 🎜🎜#Skriptsprache: