人工智能时代前沿技术社区

首页 > 人工智能 > 热点

WEB安全测试之谈

在对web应用所执行的测试中,安全测试是非常重要的一环。对开发工程师来说,掌握web安全测试的相关知识是非常必要的,2月1日晚上的线上直播

作者: | 2018-02-02 12:36:08

在对web应用所执行的测试中,安全测试是非常重要的一环。对开发工程师来说,掌握web安全测试的相关知识是非常必要的,21日晚上的线上直播,飞马网邀请到京东商城POP平台的资深测试工程师—王海林,讲解web安全测试方面的内容。王海林老师主要从安全概况、XSS跨站、SQL注入三个方面,与大家进行了分享与交流。

微信图片_20180202101430.jpg

一. 安全概况

随着互联网时代的崛起,互联网业务更新愈加频繁,web技术也越来越多样化。由于一些开发工程师对技术的掌握不够深入,对系统的安全漏洞不够重视,从而导致重要的安全漏洞产生,例如:SQL注入、跨站、越权、绕过客户端、文件上传等安全漏洞,黑客逐渐把攻击对象转向外部网站,进行实时攻击,利用漏洞搞恶意破坏,谋取利益,随之,我们的web系统安全攻防技术变得重要,系统安全漏洞的挖掘也成为这个过程中重要的一部分。

   那么web安全测试包括哪些呢?王老师向我们介绍了以下几部分:

幻灯片4.jpg

 

在这里,王海林老师主要对SQL注入和XSS跨站两大部分进行深入探讨。

.XSS跨站

XSS是一种经常出现在web应用中的安全漏洞,攻击者/黑客通过对web页面注入恶意代码,达到攻击目的,近几年,XSS已经成为web中最主流的攻击方式。

1.XSS危害:

幻灯片7.jpg

 

2.XSS原理:

 

幻灯片8.jpg

               

幻灯片9.jpg

3.XSS分类:

幻灯片10.jpg

 

4.XSS检测:

幻灯片11.jpg

 

            

幻灯片12.jpg

 

幻灯片14.jpg

在手动代码检测过程中,对编码进行转换的工具:

幻灯片13.jpg

 

5.XSS防御:

幻灯片15.jpg

           

幻灯片16.jpg

BEEF&Httponly

幻灯片17.jpg

   

幻灯片18.jpg

核心cookie为什么要设置Httponly属性?

  如今越来越多的攻击者利用跨站等方式,盗取用户的cookie,得到密钥。密钥被拿到后,我们就不需要账号和密码登录浏览器,为了防止攻击者的窃取,我们通常在核心cookie设置Httponly属性。

幻灯片19.jpg

.SQL注入

几乎所有外部应用程序的数据存储,都是通过数据库来完成的,因此系统与数据库在交互过程中,会使用一些SQL语句进行数据的读写操作,实际过程中,由于开发工程师的经验不足,导致安全漏洞的产生。

1.SQL注入原理分析:

 

幻灯片22.jpg

         

幻灯片23.jpg

2.SQL注入产生条件:

幻灯片24.jpg

 

3.SQL注入检测方法:

幻灯片25.jpg

 

基于代码检测,王老师向我们介绍了以下两种代码检测方法:

 

  

幻灯片27.jpg

 

 

 

幻灯片28.jpg

 

4.SQL注入防御:

幻灯片29.jpg

 

5.SQL注入渗透实战:

 

幻灯片30.jpg

 

幻灯片31.jpg

 

 

幻灯片32.jpg

幻灯片33.jpg

以上就是王海林老师对WEB安全测试内容的相关介绍,在最后,王老师还针对大家的提问进行了一一解答,包括WebgoatSQL注入$符的底层实现、web安全检测平台、主流攻击方式等问题。

想详细了解直播内容的小伙伴们,可以关注飞马网服务号,点击菜单栏飞马直播即可进行学习。  

服务号.jpg