码迷,mamicode.com
首页 > 其他好文 > 详细

初识安全测试

时间:2018-04-04 21:14:48      阅读:120      评论:0      收藏:0      [点我收藏+]

标签:tar   复制   bug   不能   分享   页面   .com   加密   username   

 

 

1、密码是否加密

   抓包时有警告信息:密码信息不能够出现在非https的链接页面

   登录功能应该使用https页面

 

2、登录时“记住我”的功能,如果将用户名和密码写在了cookie里面,就是安全性的bug

 

3、接口之sql注入

sql注入漏洞存在的前提条件:

  1、某个接口中,代码中方法函数查询的sql条件字段的值是通过拼接的方式拼上去的

  2、通过拼接得到的查询sql会出现恒等表达式,永远可以查到数据

  【例】登录sql

  select count(*) from nm_user where password=‘123456‘ and username=‘test@qq.com‘;

  select count(*) from nm_user where password=‘123456‘ and username=‘‘ or ‘abc‘=‘abc‘;

 

  ‘ or ‘abc‘=‘abc (取两个单引号之间的

   技术分享图片

  【例】通过接口参数获取用户信息

  xxx/getUsernameById?id=‘or ‘abc‘=‘abc

   技术分享图片

  1)代码中查询的sql的字段是通过拼接查询的:

  技术分享图片

 

  2)查询sql存在恒等式:

  技术分享图片

   3)如果取量引号中的xxx/getUsernameById?id=‘or ‘abc‘=‘abc 复制到浏览器查询,就会查询出全部的用户信息

 

 

 

 

 

 

 

 

 

 

 

初识安全测试

标签:tar   复制   bug   不能   分享   页面   .com   加密   username   

原文地址:https://www.cnblogs.com/chenhongl/p/8717152.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!