标签:
安全问题,一个所有互联网公司挥之不去的伤痛
今天,大致列举一下我们在日常测试工作中应该要注意的安全问题(不涉及拿安全工具描述部分)
1、XSS类:包括存储型和反射型
反射型最容易传播的是搜索URL,注意处理处理这类URL中的XSS风险代码
其中存储型的危害比反射型的危害相对要更大,建议在平台做统一处理
2、前端存在业务校验
任何前端的检验都是为提高用户体验而做,不具体任何安全性
若涉及业务上重要的校验,需要确保前后端都存在统一的逻辑校验
3、POST表单冗余数据
POST表单中提交了页面或业务逻辑中不允许直接修改的数据
(常用的如手机号、邮箱等需要验证后才能修改)
4、突破搜索参数数量
很多网站都会有搜索,搜索中有很多的条件可选,业务在设计时对部分搜索条件的数量进行了限制
在截获请求之后,对搜索条件进行扩充后并发请求服务器,会对服务器造成比较大的压力
这一条也与前面讲到的<前端存在业务校验>有关联
5、密码类传输
主要涉及注册、登录、修改密码、忘记密码这几类常用操作
传输过程中若使用明文密码是非常不安全的
6、数据操作类带有ID
密切注意编辑、删除操作中带有数据ID的情况,水平越权操作数据,是非常危险的漏洞
7、数据库存储长度
前端100%会对数据的可输入做一个长度或输入类型限制
我们知道前端的限制是没有任何安全意义的,通过工具修改数据类型和长度同样可被正常提交,若出错很有可能会暴露数据库的关键信息
8、重复提交请求|数据数量有限制
对于不允许重复提交的请求和数量有限制的存储,不光在前端做限制,在服务端也在有对应的校验和限制
9、数据回填
将用户输入的数据直接回填在JSP,然后作为标签中某个属性值显示在页面的HTML中,这种情况下如果不作处理,基本会有XSS
如用户搜索记录、搜索关键字
10、自动登录
修改密码、重置密码类操作时,尽量不要在最后附加一个自动登录的动作
尤其不可将这个判断将给前端或者浏览器
11、撞库
网络上很多的账号密码资源,被拿到之后会用于撞一些网站的用户名密码
12、爆破
重灾区在找回密码验证码或者其他的任何重要操作的数字验证码部分
建议将验证码复杂度增加,同时加上图形验证码增加难度,同时最好有其他防爆机制
标签:
原文地址:http://www.cnblogs.com/hncjp1989/p/5403903.html
