>  기사  >  운영 및 유지보수  >  웹 보안 테스트를 위한 지식 포인트는 무엇입니까?

웹 보안 테스트를 위한 지식 포인트는 무엇입니까?

WBOY
WBOY앞으로
2023-05-11 18:34:061348검색

보안 테스트란 무엇인가요?

보안 테스트는 애플리케이션이 적대적이고 악의적인 입력에도 불구하고 여전히 요구 사항을 완전히 충족할 수 있다는 증거를 제공하는 것입니다.

a. 증거 제공 방법은 무엇인가요? 우리는 실패한 보안 테스트 케이스 실행 결과 세트를 사용하여 웹 애플리케이션이 보안 요구 사항을 충족하지 않음을 증명합니다.

b. 보안 테스트의 필요성을 어떻게 보시나요? 보안 테스트는 선별할 입력 및 출력이 더 많기 때문에 기능 테스트보다 요구 사항에 더 많이 의존합니다.

진정한 소프트웨어 보안은 실제로 위험 관리를 의미합니다. 즉, 소프트웨어의 보안 수준이 비즈니스 요구 사항을 충족하는지 확인하기만 하면 됩니다.

보안 테스트를 수행하는 방법은 무엇입니까?

실제 실습과 결합된 일반적인 공격 및 취약점을 기반으로 한 보안 테스트 사례를 추가하는 것은 보안 테스트를 일상적인 기능 테스트의 간단하고 일반적인 부분으로 바꾸는 방법입니다.

보안에 영향을 미치는 특별한 경계 값과 보안에 영향을 미치는 특별한 동등 클래스를 선택하고 이를 테스트 계획 및 테스트 전략 프로세스에 통합합니다.

그러나 기능 테스트를 기반으로 보안 테스트를 수행한다면 수많은 테스트 케이스가 추가되어야 합니다. 즉, 관리가 가능하도록 하려면 초점 범위를 좁히고 테스트를 자동화하는 두 가지 작업을 수행해야 합니다.

웹 보안 테스트에서 일반적으로 고려되는 테스트 포인트는 무엇입니까?

1. 문제: 검증되지 않은 입력
테스트 방법:

데이터 유형(문자열, 정수, 실수 등)
허용되는 문자 집합

최소 및 최대 길이
빈 입력 허용 여부
매개 변수가 다음과 같습니다.
반복 허용 여부
숫자 범위
특정 값(열거형)
특정 패턴(정규식)

2. 문제: 접근 제어에 문제가 있음

테스트 방법:

주로 필요한 경우에 사용됨 사용자 신원을 확인하고 권한이 있는 페이지의 URL 주소를 복사하세요.페이지를 닫은 후 복사된 주소에 직접 접근할 수 있는지 확인하세요. 예: 한 페이지에서 다른 페이지로 연결되는 링크 사이에 URL 주소가 표시됩니다. 주소를 직접 입력하세요. 권한이 없는 페이지 정보를 볼 수 있습니다

3. 인증 및 세션 관리가 잘못되었습니다

예: 그리드, 라벨, 트리 보기 클래스의 입력 상자가 확인되지 않고 입력 내용이 html에 따라 파싱됩니다. 구문 나오세요

4. 버퍼 오버플로

핵심 데이터가 암호화되지 않습니다

예: view-source: http 주소는 소스 코드를 볼 수 있으며 페이지에 비밀번호를 입력하면 페이지에 *****가 표시되고 마우스 오른쪽 버튼을 클릭하면 소스 파일 보기 방금 입력한 비밀번호를 확인하세요

5. 서비스 거부

분석: 공격자는 호스트에서 많은 애플리케이션을 소진시킬 만큼 충분한 트래픽을 생성할 수 있으며, 이를 처리하려면 로드 밸런싱이 필요합니다

. 6. 보안 구성 관리 없음

분석: 구성의 링크 문자열과 사용자 정보, 이메일, 데이터 저장 정보를 보호해야 합니다.

프로그래머가 해야 할 일: 모든 보안 메커니즘 구성, 모든 사용하지 않는 서비스 끄기, 역할 권한 계정 설정, 로그 및 경고 사용

분석: 사용자는 버퍼 오버플로를 사용하여 웹 애플리케이션 스택을 파괴합니다. 특별히 작성된 코드를 삽입하여 전송합니다. 공격자는 웹 애플리케이션이 임의의 코드를 실행하도록 허용할 수 있습니다

7. 주입 취약점

예: 사용자 로그인을 확인하는 페이지,

사용된 SQL 문이 다음과 같은 경우:

사용자 이름이 있는 테이블 A에서 *를 선택합니다. ='' + 사용자 이름+'' 및 비밀번호 .....

Sql 입력' 또는 1=1 --- 비밀번호를 입력하지 않고도 공격할 수 있습니다

8. 부적절한 예외 처리

분석: 프로그램이 상대적으로 예외가 발생하면 자세한 내부 오류 메시지가 표시되어 웹사이트에 잠재적인 취약점이 있습니다

9. 안전하지 않은 저장 공간

분석: 계정 목록, 시스템에서 사용자를 허용해서는 안 됩니다. 사이트의 모든 계정을 탐색하세요. . 사용자 목록이 필요한 경우, 실제 계정을 가리키는 어떤 형태의 가명(화면 이름)을 사용하는 것이 좋습니다.

브라우저 캐시: 인증 및 세션 데이터는 GET의 일부로 전송되어서는 안 되며 POST를 사용해야 합니다.

10. 문제: XSS(교차 사이트 스크립팅)

분석: 공격자는 악성 코드를 전송하기 위해 아니요 이 사실을 알고 있는 사용자는 자신의 컴퓨터에 있는 모든 정보를 훔칠 것입니다

테스트 방법:

HTML 태그: <…>…

이스케이프 문자: &(&);<( <) ;>(>); (공백) ;

스크립트 언어:

…Alert('')

특수 문자: ' ' < /

최소 및 최대 길이

빈 입력 허용 여부

위 내용은 웹 보안 테스트를 위한 지식 포인트는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제