渗透性测试来查验目的系统安全性,通过实施针对性的渗透测试,发现目的系统中的安全毛病,在安全变乱发生前发现安全毛病,防患于未然,最大程度减少系统遭受黑客攻击的大概。同时为安全加固提供依据,提升业务系统安全和稳定运行。
1.测试目的
通过进行渗透测试发现系统的固有安全毛病,在安全变乱发生前解决信息安全题目,最大程度的保障了信息系统安全,达到如下工作目的:
(1)掌握系统的安全近况和面临的主要安全风险;
(2)明白系统面对的主要风险并分析这些风险产生的缘故原由;
(3)在分析风险缘故原由的基础上为系统的运行、维护、使用和改进提供安全性发起。
用户枚举****毛病
毛病描述
存在于系统登录页面,使用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回差异的出错信息可枚举出系统中存在的账号信息。
修复发起
1)将登录失败的返回包统肯界说为“用户名或密码错误”;
2)增长校验机制,如:接纳具有失效机制的验证码。
点击劫持****毛病
毛病描述
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。被用于各大网站中,假如这种交互的方式用来通报敏感的数据,而且传输的时候没有做太多安全性控制的话将导致安全毛病。
修复发起
修改web服务器设置,添加X-frame-options响应头。
赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe大概frame中。
(3)ALLOW-FROM URL:只能被嵌入到指定域名的框架中。
XSS****毛病
毛病描述
跨站脚本(Cross Site Scripting)攻击是指在远程WEB页面的HTML代码中手插入恶意的JavaScript、VBScript、ActiveX、HTML或Flash等脚本,窃取浏览此页面的用户的隐私,改变用户的设置,粉碎用户的数据。跨站脚本攻击在
修复发起
1、检测并过滤输入的特别字符,如: <>(尖括号)、"(引号)、'(单引号)、%(百分比符号)、;(分号)、 ()(括号)、&(& 符号)、+(加号)
(注意在过滤某些特别字符时判断是否对业务有影响)
2、针对输出数据具体的上下文语境进行针对性的编码
3、为cookie设置Httponly属性
发起对客户端提交的数据进行过滤处理,对输出做编码处理,编码成html实体输出。发起过滤所有以下字符:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] 'ÿ
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
