網(wǎng)站安全檢測點(diǎn)

 

在網(wǎng)站制作、成都網(wǎng)站建設(shè)過程中,需要針對客戶的行業(yè)特點(diǎn)、產(chǎn)品特性、目標(biāo)受眾和市場情況進(jìn)行定位分析,以確定網(wǎng)站的風(fēng)格、色彩、版式、交互等方面的設(shè)計(jì)方向。創(chuàng)新互聯(lián)還需要根據(jù)客戶的需求進(jìn)行功能模塊的開發(fā)和設(shè)計(jì),包括內(nèi)容管理、前臺(tái)展示、用戶權(quán)限管理、數(shù)據(jù)統(tǒng)計(jì)和安全保護(hù)等功能。

1.檢測指標(biāo):

1.2密碼安全:

       描述:判斷密碼是不是容易被盜取

操作:可以通過瀏覽器查看是否加密,并將加密作為獨(dú)立請求進(jìn)行測試驗(yàn)。    此外曉風(fēng)后臺(tái)的登陸沒有手機(jī)驗(yàn)證碼進(jìn)行驗(yàn)證功能,我們目前系統(tǒng)增加了這塊驗(yàn)證使得系統(tǒng)登陸更加安全。

1.3SQL注入檢測

描述:檢測Web網(wǎng)站是否存在SQL注入漏洞,如果存在該漏洞,***者對注入點(diǎn)進(jìn)行注入***,可輕易獲得網(wǎng)站的后臺(tái)管理權(quán)限,甚至網(wǎng)站服務(wù)器的管理權(quán)限。

操作:下載acunetix webvulnerability scanner進(jìn)行掃描檢測。

1.4上傳漏洞

描述:檢測Web網(wǎng)站的上傳功能是否存在上傳漏洞,如果存在此漏洞,***者可直接利用該漏洞上傳***獲得WebShell。

操作:檢測前臺(tái)是否有上傳的地方,并且檢查是否可以上傳.asp,.exe甚至其他shell腳步文件

1.5 表單繞過:

描述:如何很多邏輯的驗(yàn)證或者計(jì)算只是在表單頁面進(jìn)行,那么***者可以通過繞過頁面直接對后臺(tái)進(jìn)行數(shù)據(jù)提交

操作:開發(fā)人員需要檢測頁面的邏輯驗(yàn)證是否在后臺(tái)都具備相應(yīng)的操作,并養(yǎng)成好的開發(fā)習(xí)慣。

 

1.6 URL非法訪問

描述:直接獲取網(wǎng)站中某個(gè)URL地址,進(jìn)行瀏覽器上的訪問。

操作:直接拷貝幾個(gè)帶有參數(shù)的URL放入到瀏覽器上進(jìn)行驗(yàn)證,系統(tǒng)開發(fā)上考慮一下是不是攔截有遺漏,特別是我們自己開發(fā)的部分以及用于測試的頁面。

 

1.7敏感信息泄露

描述:系統(tǒng)的個(gè)人資料應(yīng)該受到保護(hù),有些系統(tǒng)通過id來查找相應(yīng)用戶資料。

操作:查看系統(tǒng)中是否存在通過id為參數(shù)的請求,并隨便修改id的數(shù)字進(jìn)行url請求

 

1.8 XSS跨站腳本。

描述:檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞,如果存在該漏洞,網(wǎng)站可能遭受Cookie欺騙、網(wǎng)頁掛馬等***。

操作:檢測所有輸入框是否可以輸入html的標(biāo)簽,特別是腳步

 

1.9跨站點(diǎn)請求偽造

描述:跨站點(diǎn)請求偽造***通過強(qiáng)制已登錄受害者的瀏覽器香目標(biāo)網(wǎng)站發(fā)送預(yù)認(rèn)證請求,然后強(qiáng)制受害者瀏覽器執(zhí)行有利于***者的行為。

操作:在每個(gè)請求頁面請求前,自動(dòng)產(chǎn)生隨機(jī)數(shù)加密串,后臺(tái)進(jìn)行解密進(jìn)行驗(yàn)證。查看是否所有請求都符合這個(gè)規(guī)則。

 

1.10 Cookie 欺詐

Cookie欺騙的途徑有:

  1. 跳過瀏覽器,直接對通訊數(shù)據(jù)改寫

  2. 修改瀏覽器,讓瀏覽器從本地可以讀寫任意域名Cookie

  3. 使用簽名腳本,讓瀏覽器從本地可以讀寫任意域名Cookie

  4. 欺騙瀏覽器,讓瀏覽器獲得假的域名

 

      操作:給cookie加一個(gè)時(shí)間戳和ip進(jìn)行加密,具體可以通過查看瀏覽器的cookie,看是否是加密串。

 

 1.11隱藏目錄泄露

描述:出錯(cuò)或者直接敲鏈接,網(wǎng)站顯示出錯(cuò)誤信息或者目錄,應(yīng)該用404 這些的錯(cuò)誤頁面來代替。

操作:檢測系統(tǒng)是否測試生產(chǎn)環(huán)境,并且檢測apache是否會(huì)顯示目錄問題,另外出錯(cuò)信息都用404等錯(cuò)誤頁面代替。

 

2.           外部網(wǎng)站檢測

360網(wǎng)站的驗(yàn)證

http://webscan.#/

3.           工具檢測

http://www.cnblogs.com/lhb25/archive/2012/06/18/8-useful-and-free-web-application-security-testing-tools.html

 

阿里云系統(tǒng)自帶的一些檢測工具

 

 

 

 

 

 

網(wǎng)站欄目:網(wǎng)站安全檢測點(diǎn)
路徑分享:http://bm7419.com/article34/goidse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供服務(wù)器托管、全網(wǎng)營銷推廣、靜態(tài)網(wǎng)站、網(wǎng)站設(shè)計(jì)公司、網(wǎng)站策劃營銷型網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

小程序開發(fā)