网页bug测不出来?不知道的还不点进来瞅瞅!

前言:

现在很多活动都离不开的互联网的助力,比如新年的集五福活动,每年电商巨头的618、双十一、双十二大促活动,亦或者休闲游戏,食品零售等等,无一不在互联网的生态圈之中。

也正是越来越多人成为了互联网的一员,很多***为了给自己谋利,变通过***网页服务器等方式,截获他人信息。***的方式也非常多,常见的有SQL注入、跨站脚本***、跨站请求伪造、缓存区溢出等。

由此,一方面,我们需要加强网络安全建设,在网页搭建时,就对安全性方面做重点监控;另一方面,我们要充分认识网络bug有哪些,了解***可能的***点,提升自己的业务水平,方能协助开发人员,共同维护网络安全。

正文:

那么,日常生活中,常见的网络问题有哪些呢?今天我们就一起来探讨下。

1、SQL注入类问题

在Web安全测试中,SQL注入是最为常见的一种手段。主要是指***者通过巧妙的构建非法SQL查询命令,插入表单或请求字符串后提交,并根据返回的结果,来获得想要的数据。这就是SQL注入。

SQL注入的方法一般有猜测法和屏蔽法。猜测法主要是通过猜测数据库可能存在的表名和列名,根据组合的SQL语句获取数据表的信息。屏蔽法主要是利用SQL输入的不严谨进行逻辑验证,从而使得SQL验证结果始终为真,从而绕开验证的目的。

2、跨站脚本***问题

跨站脚本***(简称XSS),是一种迫使Web站点回显可执行代码的***技术。

当Web站点回显后,***者会重新提供可执行代码。一般情况下,他们会往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而***终端用户。

XSS最为常见的***方法为反射型XSS和存储型XSS。其中,反射型XSS,又称非持久型跨站点脚本***,也是最常见的XSS***方式。

而存储型XSS则不同。它是一种持久型跨站点脚本***,也是最直接危害用户的XSS。当***者在服务器中存储了***代码后,用户只要打开对应页面,就会触发XSS代码自动执行。

3、跨站请求伪造问题

跨站请求伪造(简称CSRF),是一种对网站的恶意利用。它通过伪装普通用户的请求,来利用受信任的网站。与XSS***相比,CSRF***往往因为不太流行而导致难以防范。所以,我们认为CSRF往往比XSS更具危险性。

4、缓存区溢出问题

缓冲区溢出是一种非常普遍存在的漏洞,广泛存在于各种操作系统、应用软件中。

利用缓冲区溢出***,可以导致程序出现运行失败、系统关机、重新启动等行为,或执行***者的指令,比如非法提升权限等。

在缓冲区溢出中,最为危险的就是堆栈溢出,它可以利用堆栈溢出,在函数返回时,将程序的地址修改为***者想要的任意地址,达到***者的目的。其最典型的例子,就是1988年利用fingerd漏洞进行***的蠕虫。

那么,解决这些页面***问题,有哪些可行的办法呢?

1、关于SQL注入类问题

对于猜测法和屏蔽法来说,它们是SQL注入最基础的、最简单的方法。在测试过程中,我们需要注意命名规则,以及对关键词的屏蔽等。另外,我们也需要在工作中,不断总结经验,更加深入的学习猜想法和屏蔽法等。

2、关于跨站脚本***问题

关于反射型XSS,一般只有我们自己点进链接,才能触发***者注入的XSS代码。这种方式的解决办法就是:慎点。

而存储型XSS则不同。这种XSS比较危险,容易产生蠕虫,盗窃用户Cookie等危害。在做这类问题测试时,一定要对程序的代码有一定的认知,尤其是要检查程序中的敏感符号,例如:“/、“.”、“’”、“‘”、“<”、“>”、“?”等。检查这些特殊字符是否存在违规使用,或检查是否存在数据库字段、数据库类型以及长度的限制等,未进行处理的情况发生。

3、关于跨站请求伪造问题

简单判断是否存在CSRF漏洞的方法,就是通过抓取正常请求的数据包,然后通过去掉Referer字段,再重新提交。如果二次提交还有效,说明存在CSRF漏洞。

为了防止CSRF,常用的方法就是在AJAX异步请求地址中,添加Token并进行验证,从而降低CSRF出现的可能。

4、缓存区溢出问题

事实上,造成缓冲区溢出的原因有很多。主要原因有对输入、输出的数据没有限制大小、长度以及格式等,还有就是对用户的特殊操作没有做异常处理导致。

所以,在测试过程中,我们需要注意输入输出的大小长度以及格式规范限制,还有需要多模拟一些异常,关注异常的处理情况。

对Web应用软件来说,安全性包含Web服务器、数据库、操作系统以及网络的安全等,只要其中任何一个部分出现安全漏洞,都会导致整个系统的安全性问题。Web安全测试是比较难解决的问题,这个取决于测试要达到什么程度。简单说软件不可能做到100%的测试,所以也不要期望可以达到100%的安全。

最后衷心希望我们的测试小达人们,能不断提升自己的业务水平,为互联网用户的隐私数据,做好保驾护航。

写在最后:

没有一个寒冬不会过去,没有一个春天不会到来,过去的2020年对于全世界人民来说是不平凡的一年,每个人都在坚强勇敢的和疫情抗战,在这里我们一起为自己鼓个掌吧,2021年已经如约而至,制定好目标继续向上生长吧。

上一篇:JWT 身份认证优缺点分析以及常见问题解决方案


下一篇:固定会话与CSRFandXSS