Webセキュリティテストの知識ポイントは何ですか?

セキュリティテストとは何ですか?

セキュリティ テストは、敵対的で悪意のある入力に直面してもアプリケーションがそのニーズを完全に満たせるという証拠を提供することです。

a. 証拠を提供するにはどうすればよいですか?失敗した一連のセキュリティ テスト ケースの実行結果を使用して、Web アプリケーションがセキュリティ要件を満たしていないことを証明します。

b. セキュリティ テストの必要性をどう思いますか?セキュリティ テストは、ふるいにかけるべき入力と出力がより多くあるため、機能テストよりも要件に依存します。

真のソフトウェア セキュリティとは、実際にはリスク管理を指します。つまり、ソフトウェアのセキュリティがビジネス ニーズを確実に満たすことができるということです。

セキュリティテストはどのように実施すればよいですか?

一般的な攻撃と脆弱性に基づいたセキュリティ テスト ケースを実際の実践と組み合わせて追加することで、セキュリティ テストを日常の機能テストのシンプルかつ一般的な部分に変えることができます。

セキュリティ上の重要性を持つ特別な境界値、およびセキュリティ上の重要性を持つ特別な等価クラスを選択し、これらをテスト計画およびテスト戦略のプロセスに統合します。

しかし、機能テストに基づいてセキュリティ テストを実行する場合、多数のテスト ケースを追加する必要があります。これは、管理しやすくするには、焦点を絞ることとテストの自動化という 2 つのことを行う必要があることを意味します。

Web セキュリティ テストでは、通常どのようなテスト ポイントを考慮する必要がありますか?

1. 問題: 未検証の入力
テスト方法:

データ型 (文字列、整数、実数など)
許可される文字セット

最小値および最大長
空の入力が許可されるかどうか
パラメータが必須かどうか
繰り返しが許可されるかどうか
値の範囲
特定の値 (列挙型)
特定のパターン (正規表現)

2. 問題: 問題のあるアクセス制御

テスト方法:

は主にユーザー ID と権限を確認する必要があるページに使用されます。これをコピーします。ページの URL アドレスです。ページを閉じた後、コピーしたアドレスを直接入力できるか確認してください
例：ページとページの隙間にURLアドレスが表示されます アドレスを直接入力すると自分自身が表示されます ページ情報の無断転載

3、不正な認証とセッション管理

例: グリッド、ラベル、ツリー ビュー クラスの入力ボックスは検証されず、入力内容は HTML 構文に従って解析されます。
4. バッファ オーバーフロー

キー データは暗号化されていません

例: view-source: http アドレスでソース コードを表示し、ページでパスワードを入力すると、ページに ** が表示されます。 * **、右クリックしてソース ファイルを表示すると、入力したばかりのパスワードが表示されます

5. サービス妨害

分析: 攻撃者は、ホストから大量のトラフィックを消費するのに十分なトラフィックを生成する可能性があります。
6. 安全でない構成管理

分析: Config 内のリンク文字列、ユーザー情報、電子メール、およびデータ ストレージ情報が必要であるため、#6. に対処するには負荷分散が必要です。守ること。

プログラマがすべきこと: すべてのセキュリティ メカニズムを構成し、未使用のサービスをすべてオフにし、ロール権限アカウントをセットアップし、ログとアラートを使用する

分析: ユーザーはバッファ オーバーフローを使用して損害を引き起こす Web アプリケーション攻撃者は、特別に記述されたコードを Web プログラムに送信することで、Web アプリケーションに任意のコードを実行させることができます。

7. インジェクションの脆弱性
例: ユーザーのログインを確認するページ、

使用される SQL ステートメントが次の場合:

Select * from table A where username='' username '' and pass word .....

Sql input' or 1 =1 - ことができます。パスワードを入力せずに攻撃を行う

8. 不適切な例外処理

分析: プログラムが例外をスローすると、比較的詳細な内部エラー メッセージが表示されます。表示されるべきではない実行の詳細が公開されます。 Web サイトには潜在的な脆弱性があります

9. 安全でないストレージ

分析: アカウント リスト、システムは、必要に応じて、ユーザーが Web サイト上のすべてのアカウントを参照できるようにすべきではありませんユーザーのリストについては、実際のアカウントを指すために、何らかの形式のペンネーム (スクリーンネーム) を使用することをお勧めします。

ブラウザ キャッシュ: 認証およびセッション データは GET の一部として送信されるべきではなく、POST が使用されるべきです

10. 問題: クロスサイト スクリプティング (XSS)

分析: 攻撃者はクロスサイト スクリプティングを使用して、疑いを持たないユーザーに悪意のあるコードを送信し、マシン上のあらゆる情報を盗みます

テスト方法:

HTML タグ: … …> ;

エスケープ文字: &(&);(>); (スペース);

スクリプト言語:

…Alert('')

特殊文字: ' ' /

最小長と最大長

空の入力が許可されるかどうか

以上がWebセキュリティテストの知識ポイントは何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。