web 安全测试要点分享


摘要:
下文讲述web安全测试的相关知识,如下所示:



一、系统用户权限测试

此模块主要测试:
1.1 无模块的访问权限禁止访问模块
1.2 同时两个用户登录系统,是否出现权限切换错乱
1.3 用户直接通过url是否可以访问无权限模块
1.4 页面访问流程,是否由系统指定的路径,禁止跳跃路径访问


二、url交互方式

url的交互方式是否按系统指定的方式访问,使用get post 禁止以外的其它方式访问。
后台接收的url参数是否都进行了验证
重要及敏感信息是否进行了隐藏或加密处理
例:
金额信息是否可以通过在url中修改,然后提交。

是否处理了XSS脚本攻击


例:
我们在浏览论坛时候,回帖的时,我们输入脚本
<script>alert(“hello”);</script>”

提交后台保存后,其它电脑浏览此页面时,此脚本如果被执行,则代表此网站我们可以对其进行XSS脚本攻击


三、sql注入攻击处理



四、session测试

用户是否可以虚拟session的方式进入系统
多标签页面,之间的用户权限是否会混乱
session超时是否进行了相关处理