安全測試,以前我覺得就是防止SQL注入,再高深一點嘛就是解密,找后門。說白了就是破壞和防止的對抗。這是一個永無止境的對壘!
今天膚淺的分享一些我認知的安全測試內容:
1.firefox有一個牛逼的插件firebug,當然其他瀏覽器也有開發者視角。(fiddler也很棒,這里不做說明)
打開firebug測試員就能直觀的看到HTML腳本、CSS樣式和DOM模型。測試狗可以看到每個get和每個post,查看密碼是否加密,接口返回值是否異常,可以動態編輯源碼。上線的服務應該對接口進行加密,否則極容易引發惡意用戶攻擊服務器或者惡意獲取大量有效信息。
2.安全攻擊都有哪些?
1.注入攻擊漏洞 如下圖所示這就是很有問題的一串代碼,賬號中輸入 'a'or '1'='1' 密碼輸入123456789,很容易就登錄了。
有一定經驗的程序員會始終以PreparedStatement代替Statement.(當然用不安全字符、字符串過濾也是很不錯的選擇)如下圖所示
那么有人要問了,我沒有開發經驗,沒讀過關于安全測試的書,我應該怎么辦?
其實很簡單----appscan解決你的困擾(具體百度)
2.跨站腳本攻擊
改日再寫吧!
