网站安全检测点

 

 

1.检测指标：

1.2密码安全：

       描述：判断密码是否是容易被盗取

操做：能够经过浏览器查看是否加密，并将加密做为独立请求进行测试验。    此外晓风后台的登录没有手机验证码进行验证功能，咱们目前系统增长了这块验证使得系统登录更加安全。

1.3SQL注入检测

描述：检测Web网站是否存在SQL注入漏洞，若是存在该漏洞，***者对注入点进行注入***，可轻易得到网站的后台管理权限，甚至网站服务器的管理权限。

操做：下载acunetix webvulnerability scanner 进行扫描检测。

1.4上传漏洞

描述：检测Web网站的上传功能是否存在上传漏洞，若是存在此漏洞，***者可直接利用该漏洞上传***得到WebShell。

操做：检测前台是否有上传的地方，而且检查是否能够上传.asp，.exe甚至其余shell脚步文件

1.5 表单绕过：

描述：如何不少逻辑的验证或者计算只是在表单页面进行，那么***者能够经过绕过页面直接对后台进行数据提交

操做：开发人员须要检测页面的逻辑验证是否在后台都具有相应的操做，并养成好的开发习惯。

 

1.6 URL非法访问

描述：直接获取网站中某个URL地址，进行浏览器上的访问。

操做：直接拷贝几个带有参数的URL放入到浏览器上进行验证，系统开发上考虑一下是否是拦截有遗漏，特别是咱们本身开发的部分以及用于测试的页面。

 

1.7敏感信息泄露

描述：系统的我的资料应该受到保护，有些系统经过id来查找相应用户资料。

操做：查看系统中是否存在经过id为参数的请求，并随便修改id的数字进行url请求

 

1.8 XSS跨站脚本。

描述：检测Web网站是否存在XSS跨站脚本漏洞，若是存在该漏洞，网站可能遭受Cookie欺骗、网页挂马等***。

操做：检测全部输入框是否能够输入html的标签，特别是脚步

 

1.9跨站点请求伪造

描述：跨站点请求伪造***经过强制已登陆受害者的浏览器香目标网站发送预认证请求，而后强制受害者浏览器执行有利于***者的行为。

操做：在每一个请求页面请求前，自动产生随机数加密串，后台进行解密进行验证。查看是否全部请求都符合这个规则。

 

1.10 Cookie 欺诈

Cookie欺骗的途径有：

1. 跳过浏览器，直接对通信数据改写

2. 修改浏览器，让浏览器从本地能够读写任意域名Cookie

3. 使用签名脚本，让浏览器从本地能够读写任意域名Cookie

4. 欺骗浏览器，让浏览器得到假的域名

 

      操做：给cookie加一个时间戳和ip进行加密，具体能够经过查看浏览器的cookie，看是不是加密串。

 

 1.11隐藏目录泄露

描述：出错或者直接敲连接，网站显示出错误信息或者目录，应该用404 这些的错误页面来代替。

操做：检测系统是否测试生产环境，而且检测apache是否会显示目录问题，另外出错信息都用404等错误页面代替。

 

2.           外部网站检测

360网站的验证

http://webscan.360.cn/

3.           工具检测

http://www.cnblogs.com/lhb25/archive/2012/06/18/8-useful-and-free-web-application-security-testing-tools.html

 

阿里云系统自带的一些检测工具