大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
描述:判断密码是不是容易被盗取
创新互联公司坚持“要么做到,要么别承诺”的工作理念,服务领域包括:网站设计、网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的西湖网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!操作:可以通过浏览器查看是否加密,并将加密作为独立请求进行测试验。 此外晓风后台的登陆没有手机验证码进行验证功能,我们目前系统增加了这块验证使得系统登陆更加安全。
描述:检测Web网站是否存在SQL注入漏洞,如果存在该漏洞,***者对注入点进行注入***,可轻易获得网站的后台管理权限,甚至网站服务器的管理权限。
操作:下载acunetix webvulnerability scanner 进行扫描检测。
描述:检测Web网站的上传功能是否存在上传漏洞,如果存在此漏洞,***者可直接利用该漏洞上传***获得WebShell。
操作:检测前台是否有上传的地方,并且检查是否可以上传.asp,.exe甚至其他shell脚步文件
描述:如何很多逻辑的验证或者计算只是在表单页面进行,那么***者可以通过绕过页面直接对后台进行数据提交
操作:开发人员需要检测页面的逻辑验证是否在后台都具备相应的操作,并养成好的开发习惯。
描述:直接获取网站中某个URL地址,进行浏览器上的访问。
操作:直接拷贝几个带有参数的URL放入到浏览器上进行验证,系统开发上考虑一下是不是拦截有遗漏,特别是我们自己开发的部分以及用于测试的页面。
描述:系统的个人资料应该受到保护,有些系统通过id来查找相应用户资料。
操作:查看系统中是否存在通过id为参数的请求,并随便修改id的数字进行url请求
描述:检测Web网站是否存在XSS跨站脚本漏洞,如果存在该漏洞,网站可能遭受Cookie欺骗、网页挂马等***。
操作:检测所有输入框是否可以输入html的标签,特别是脚步
描述:跨站点请求伪造***通过强制已登录受害者的浏览器香目标网站发送预认证请求,然后强制受害者浏览器执行有利于***者的行为。
操作:在每个请求页面请求前,自动产生随机数加密串,后台进行解密进行验证。查看是否所有请求都符合这个规则。
Cookie欺骗的途径有:
跳过浏览器,直接对通讯数据改写
修改浏览器,让浏览器从本地可以读写任意域名Cookie
使用签名脚本,让浏览器从本地可以读写任意域名Cookie
欺骗浏览器,让浏览器获得假的域名
操作:给cookie加一个时间戳和ip进行加密,具体可以通过查看浏览器的cookie,看是否是加密串。
描述:出错或者直接敲链接,网站显示出错误信息或者目录,应该用404 这些的错误页面来代替。
操作:检测系统是否测试生产环境,并且检测apache是否会显示目录问题,另外出错信息都用404等错误页面代替。
360网站的验证
http://webscan.360.cn/
http://www.cnblogs.com/lhb25/archive/2012/06/18/8-useful-and-free-web-application-security-testing-tools.html
阿里云系统自带的一些检测工具
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。