- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
{安全生产管理}如何进行
安全性测试
WEB 的安全性测试主要从以下方面考虑:
1.SQLInjection(SQL 注入)
(1)如何进行 SQL 注入测试?
首先找到带有参数传递的 URL 页面,如搜索页面,登录页面,提交评论页面等等.
注 1:对于未明显标识在 URL 中传递参数的,可以通过查看HTML 源代码中的
FORM标签来辨别是否还有参数传递.在FORM和/FORM的标签中间的每一个
参数传递都有可能被利用.
formid=form_searchaction=method=get
div
inputtype=textname=qid=search_qvalue=/
inputname=searchtype=imagesrc=imagessearch_/
ahref=class=flGamefinder/a
/div
/form
注2: 当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的
URL,如 HTTP:/?ID=10
其次,在 URL 参数或表单中加入某些特殊的 SQL 语句或 SQL 片断,如在登
录页面的URL 中输入HTTP://DOMAIN/?USERNAME=HIOR1=1--
注 1 :根据实际情况,SQL 注入请求可以使用以下语句:
or1=1--
or1=1--
or1=1--
ora=a
ora=a
)or(a=a
注2 :为什么是OR ,以及,――是特殊的字符呢?
例子:在登录时进行身份验证时,通常使用如下语句来进行验证:
sql=select*fromuserwhereusername=usernameandpwd=password
如输入 duck/?username=admin or 1=1pwd=11 ,SQL 语句会变成以
下:sql=select*fromuserwhereusername=adminor1=1 andpassword=11
与 admin 前面的组成了一个查询条件,即 username=admin,接下来的语句将按
下一个查询条件来执行.
接下来是 OR 查询条件,OR 是一个逻辑运算符,在判断多个条件的时候,只要一个
成立,则等式就成立,后面的 AND 就不再时行判断了,也就是说我们绕过了密码验证,
我们只用用户名就可以登录.
如输入 duck/?username=admin--pwd=11 ,SQL 语句会变成以下
sql=select*fromuserwherename=admin-- andpasword=11,
与 admin 前面的组成了一个查询条件,即 username=admin,接下来的语句将按下一
个查询条件来执行
接下来是--查询条件,“--”是忽略或注释,上述通过连接符注释掉后面的密码验证
(注:对 ACCESS 数据库无效).
最后,验证是否能入侵成功或是出错的信息是否包含关于数据库服务器的相关信息;如果
能说明存在SQL 安全漏洞.
试想,如果网站存在 SQL 注入的危险,对于有经验的恶意用户还可能猜出数据库表和表结
构,并对数据库表进行增\删\改的操作,这样造成的后果是非常严重的.
(2)如何预防 SQL 注入?
从应用程序的角度来讲,我们要做以下三项工作:
转义敏感字符及字符串(SQL 的敏感字符包括
“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘
”,”--”,”%”,”0x”,”=!-*/()|”,和”空格”).
屏蔽出错信息:阻止攻击者知道攻击的结果
在服务端正式处理之前提交数据的合法性
您可能关注的文档
- (建筑工程管理)锦绣东方二期工程施工电梯安装方案.pdf
- (建筑工程管理)空调工程.pdf
- (建筑工程管理)凉习路第二合同段实施性施工组织设计.pdf
- (建筑工程管理)路基填方首件工程施工总结.pdf
- (建筑工程管理)某建筑公司监理相关知识.pdf
- (建筑工程管理)某污水泵站施工组织设计.pdf
- (建筑工程管理)某中学楼施工组织设计.pdf
- (建筑工程管理)年中南大学信息科学与工程学院招收攻读硕士学位研究生复试方案.pdf
- (建筑工程管理)墙纸施工.pdf
- (建筑工程管理)施工船舶参数.pdf
- 2024年05月山东交通职业学院招考聘用博士研究生50人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽芜湖市弋江区老年学校(大学)工作人员特设岗位公开招聘2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东东营河口区教育类事业单位招考聘用22人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东交通职业学院招考聘用100人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东威海职业学院招考聘用高层次人才2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽石台县事业单位工作人员33人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东滨州市博兴县事业单位公开招聘考察笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽蚌埠固镇县湖沟镇选聘村级后备干部7人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东省安丘市教育和体育局所属事业单位学校公开2024年招考232名工作人员笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东临沂临港经济开发区工作人员(5人)笔试历年典型题及考点剖析附带答案含详解.docx
文档评论(0)