千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 互联网科技 >

常见的Web安全漏洞及测试方法介绍

发表于:2025-12-03 作者:千家信息网编辑
千家信息网最后更新 2025年12月03日,常见的Web安全漏洞及测试方法介绍背景介绍Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。在目前的Web应用中
千家信息网最后更新 2025年12月03日常见的Web安全漏洞及测试方法介绍

常见的Web安全漏洞及测试方法介绍

背景介绍

Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。在目前的Web应用中,大多数应用不都是静态的网页浏览,而是涉及到服务器的动态处理。如果开发者的安全意识不强,就会导致Web应用安全问题层出不穷。

我们一般说的Web应用***,是指***者通过浏览器或者其他的***工具,在URL或者其他的输入区域(如表单等),向Web服务器发送特殊的请求,从中发现Web应用程序中存在的漏洞,进而操作和控制网站,达到***者的目的。

常见安全漏洞

一、SQL注入

SQL注入(SQL Injection),是最常见影响非常广泛的漏洞。***者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而***数据库来执行未授意的任意查询。

SQL注入可能造成的危害有:网页、数据被篡改,核心数据被窃取,数据库所在的服务器被***,变成傀儡主机。

例如有些网站没有使用预编译sql,用户在界面上输入的一些字段被添加到sql中,很有可能这些字段包含一些恶意的sql命令。如:password = "1' OR '1'='1";即使不知道用户密码,也能正常登录。

测试方法:

在需要进行查询的页面,输入正确查询条件 and 1=1等简单sql语句,查看应答结果,如与输入正确查询条件返回结果一致,表明应用程序对用户输入未进行过滤,可以初步判断此处存在SQL注入漏洞

二、XSS跨站脚本***

SS(Cross Site Script),与SQL注入相似,XSS是通过网页插入恶意脚本,主要用到的技术也是前端的HTML和JavaScript脚本。当用户浏览网页时,实现控制用户浏览器行为的***方式。

一次成功的XSS,可以获取到用户的cookie,利用该cookie盗取用户对该网站的操作权限;也可以获取到用户联系人列表,利用被***者的身份向特定的目标群发送大量的垃圾信息,等等。

XSS分为三类:存储型(持久性XSS)、反射型(非持久性XSS)、DOM型。

测试方法:

在数据输入界面,输入:,保存成功后如果弹出对话框,表明此处存在一个XSS 漏洞。

或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞。

三、CSRF跨站伪造请求***

CSRF(Cross Site Request Forgery),利用已登录的用户身份,以用户的名义发送恶意请求,完成非法操作。

例如:用户如果浏览并信任了存在CSRF漏洞的网站A,浏览器产生了相应的cookie,用户在没有退出该网站的情况下,访问了危险网站B 。

危险网站B要求访问网站A,发出一个请求。浏览器带着用户的cookie信息访问了网站A,因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求,所以就会处理危险网站B的请求,这样就完成了模拟用户操作的目的。这就是CSRF***的基本思想。

测试方法:

  1. 同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功,如果仍然能操作成功即存在风险。

2.使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登录界面。

四、文件上传漏洞

文件上传***是指***者上传了一个可执行文件到服务器上,并执行。

这种***方式是最直接有效的。上传的文件可以是病毒、***、恶意脚本或者是webshell等等。

Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以说是一种网页后门。***者在受影响系统防止或插入webshell后,可以通过webshell方便进入系统,达到控制网站服务器的目的。

测试方法:

对上传的文件类型、大小等进行严格校验,禁止上传恶意代码的文件。

对相关目录的执行权限进行校验,可以通过浏览器访问Web 服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,则可能存在安全问题。

五、URL跳转漏洞

URL跳转漏洞,即未经验证的重定向漏洞,是指Web程序直接跳转到参数中的URL,或者在页面中引入了任意开发者的URL,将程序引导到不安全的第三方区域,从而导致安全问题。

测试方法:

1.使用抓包工具抓取请求。

2.抓取302的url,修改目标地址,查看是否能跳转。

ps:不过现在很多跳转都加了referer的校验导致***者跳转失败。

总结

以上便是一些常见的Web安全漏洞及测试方法,在当下网络安全越来越被重视的情况下,Web安全测试在测试流程中的重要性也日益凸显,虽然也存在AppScan等漏洞扫描工具,测试人员对常见的安全漏洞也需要有一定的认知。

作者简介:张斌,6年测试工作经验,精通自动化测试、性能测试、持续交付以及整体产品质量提升。

很赞哦!
漏洞 用户 测试 网站 安全 浏览 应用 服务 输入 方法 文件 服务器 页面 恶意 浏览器 网页 常见 数据 查询 安全漏洞 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 关于网络安全书签制作教程 服务器外网和内网不能同时使用 初中学生软件开发 医院军营网络安全宣传周心得体会 sql创建一个图书管理数据库 会计软件开发的阶段包括 国三网络技术如何学 网络安全管理及实用技术课后题 隔离数据库等级 sql变成了测试数据库 许昌网络技术参数 四大值得去吗网络安全 池州金山云网络技术 广西数据软件开发设施标准 龙岩兴创网络技术有限公司 数据分析服务器如何使用 软件开发测试智商最高 齐齐哈尔服务器存储 给家长的一封信宣传网络安全 共享服务器共享文件怎么设置密码 数据库的完整性 的缺点 无线网络技术未来前景 mfc软件开发报价 聚宽科技网络技术有限公司 访问核心业务区网络安全制度 数据库驱动器 哪个数据库可以查港股 石家庄互联网科技公司 单机并发高用什么数据库 软件开发应用技术路线

相关文章

0