安全测试练习
1、阐述常见的Web安全测试有几种类型?参考教材P173.web
一、数据加密:某些数据须要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登陆密码、信用卡信息等。数据库
二、登陆或身份验证:通常的应用站点都会使用登陆或者注册后使用的方式,所以,必须对用户名和匹配的密码进行校验,以阻止非法用户登陆。在进行登陆测试的时候,须要考虑输入的密码是否大小写敏感、是否有长度和条件限制,最多能够尝试多少次登陆,哪些页面或者文件须要登陆后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户受权等,并区分公共访问和受限访问,受限访问的资源。api
三、输入验证:在进行Web安全性测试时,每一个输入域都须要用标准的机制验证,长度、数据类型等符合设定要求,不容许输入JavaScript代码,包括验证从数据库中检索的数据、传递到组件或Web服务的参数等。浏览器
四、SQL注入:从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取必要的数据库信息,而后基于这些信息,能够注入某些参数,绕过程序的保护,针对数据库服务器进行攻击。安全
五、超时限制:Web应用系统通常会设定“超时”限制,当用户长时间不作任何操做时,须要从新登陆才能打开其余页面。服务器
六、目录:若是Web程序或Web服务器的处理不适当,能够经过简单的URL替换和推测,使整个Web目录暴露出来,带来严重的安全隐患。工具
七、操做留痕:为了保证Web应用系统的安全性,日志文件是相当重要的。须要测试相关信息是否写进入了日志文件,是否可追踪。测试
2、安全测试工具调研加密
一、概述3d
列出常见的安全测试工具,画一张表,加以说明。格式以下:
| 序号 | 安全测试工具 | 商用 OR 免费 | 检测对象(二进制代码/源代码) | 简介 |
| 1 | Metasploit | 免费 | 源代码 | 可以验证绝大多数的安全漏洞,还能够进行实际的入侵工做 |
| 2 | Nessus | 商用 | 源代码 | 对本机或者其余可访问的服务器进行漏洞扫描 |
| 3 | W3AF | 免费 | 源代码 | web应用安全的攻击、审计平台 |
| 4 | Paros proxy | 免费 | 源代码 | 基于Java的web代理程序,对web程序漏洞进行评估 |
| 5 | WebScarab | 免费 | 源代码 | 用简单的形式记录它观察到的会话,容许操做员观察会话 |
| 6 | Nikto | 免费 | 源代码 | 能够对web服务器多种项目进行全面测试 |
| 7 | Wapiti | 免费 | 源代码 | 直接对网页进行扫描 |
| 8 | Kismet | 免费 | 无线测试 | 无线测试 |
| ..... | |
二、安全测试工具使用
选择一个开源的安全测试工具(能够参考教材 P176),开展试用,写一个试用报告。报告内容
一、记录完整的测试过程(工具安装、环境设置、测试过程、结果分析),包括脚本文件;
二、提交安全测试报告,描述所作的测试、遇到的问题、结果分析等,要包括主要的测试运行截图。
使用Metasploit
安装
用cmd打开
经过show命令查看模块
用options命令
使用set命令
生成URL并在浏览器中打开
总结:一开始使用怎么都没法启动,后来发现是没有配置环境变量,配置完成以后,进行测试,获得以上数据,发现这个测试工具的功能仍是很强大的。
- 1. 安全测试练习
- 2. 安全测试基础2-sqlmap演练
- 3. kafka练习测试
- 4. 安全测试学习(二)安全测试工具之BurpSuite
- 5. 安全测试
- 6. 本地测试和Instrumentation测试练习
- 7. 安全测试、渗透测试、OWASP、安全测试工具
- 8. xss 练习小测试
- 9. 性能测试练习
- 10. 【shell条件测试练习】
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Maven 构建 & 项目测试 - Maven教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • Composer 安装与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 安全测试练习
- 2. 安全测试基础2-sqlmap演练
- 3. kafka练习测试
- 4. 安全测试学习(二)安全测试工具之BurpSuite
- 5. 安全测试
- 6. 本地测试和Instrumentation测试练习
- 7. 安全测试、渗透测试、OWASP、安全测试工具
- 8. xss 练习小测试
- 9. 性能测试练习
- 10. 【shell条件测试练习】