浅谈网站安全性测试
- 发布时间:2011-09-06
- 身份认证:用户名和密码是否采用特定规则,如大小写敏感,限制最大字符数,限制字母和数字字符组合方式。假如用 ActiveX 或 Coohe 保存个人信息,是否加密是否支持频繁地密码修改。是否限制登录失败次数。是否能够通过书签、历史登录信息或捕捉的 URL 绕开登录程序。是否限制某些 IP 登录。用户登录后在一定时间内(如巧分钟)没有点击任何页面,是否需要重新登录才能正常使用。
内容攻击:基于内容的攻击其载体是内容,攻击的对象是应用程序,目标是取得对应用主机的控制权,攻击主机。如填写表单数据时,采用恶意格式,导致 Web 组件执行错误,引发应用程序出错。是否防范了输人/输出攻击、数据攻击和计算攻击。对于目录和文件是否施加了访问控制:是否过滤恶意代码和命令,限制使用应用协议的命令集,检查基于关键词的信息内容。为组件的每个输人提供源自转义序列或元字符集合的输人字符,是否导致意外结果。是否能够绕开有效性验证,从站点外部提交表单。是否发生缓冲区溢出。
本文由武汉网站建设专家—武汉双军原创:http://www.twoarmy.com,转载请注明出处。
