網站安全檢測點

 

 

1.檢測指標：

1.2密碼安全：

       描述：判斷密碼是否是容易被盜取

操做：能夠經過瀏覽器查看是否加密，並將加密做爲獨立請求進行測試驗。    此外曉風后臺的登錄沒有手機驗證碼進行驗證功能，咱們目前系統增長了這塊驗證使得系統登錄更加安全。

1.3SQL注入檢測

描述：檢測Web網站是否存在SQL注入漏洞，若是存在該漏洞，***者對注入點進行注入***，可輕易得到網站的後臺管理權限，甚至網站服務器的管理權限。

操做：下載acunetix webvulnerability scanner 進行掃描檢測。

1.4上傳漏洞

描述：檢測Web網站的上傳功能是否存在上傳漏洞，若是存在此漏洞，***者可直接利用該漏洞上傳***得到WebShell。

操做：檢測前臺是否有上傳的地方，而且檢查是否能夠上傳.asp，.exe甚至其餘shell腳步文件

1.5 表單繞過：

描述：如何不少邏輯的驗證或者計算只是在表單頁面進行，那麼***者能夠經過繞過頁面直接對後臺進行數據提交

操做：開發人員須要檢測頁面的邏輯驗證是否在後臺都具有相應的操做，並養成好的開發習慣。

 

1.6 URL非法訪問

描述：直接獲取網站中某個URL地址，進行瀏覽器上的訪問。

操做：直接拷貝幾個帶有參數的URL放入到瀏覽器上進行驗證，系統開發上考慮一下是否是攔截有遺漏，特別是咱們本身開發的部分以及用於測試的頁面。

 

1.7敏感信息泄露

描述：系統的我的資料應該受到保護，有些系統經過id來查找相應用戶資料。

操做：查看系統中是否存在經過id爲參數的請求，並隨便修改id的數字進行url請求

 

1.8 XSS跨站腳本。

描述：檢測Web網站是否存在XSS跨站腳本漏洞，若是存在該漏洞，網站可能遭受Cookie欺騙、網頁掛馬等***。

操做：檢測全部輸入框是否能夠輸入html的標籤，特別是腳步

 

1.9跨站點請求僞造

描述：跨站點請求僞造***經過強制已登陸受害者的瀏覽器香目標網站發送預認證請求，而後強制受害者瀏覽器執行有利於***者的行爲。

操做：在每一個請求頁面請求前，自動產生隨機數加密串，後臺進行解密進行驗證。查看是否全部請求都符合這個規則。

 

1.10 Cookie 欺詐

Cookie欺騙的途徑有：

1. 跳過瀏覽器，直接對通信數據改寫

2. 修改瀏覽器，讓瀏覽器從本地能夠讀寫任意域名Cookie

3. 使用簽名腳本，讓瀏覽器從本地能夠讀寫任意域名Cookie

4. 欺騙瀏覽器，讓瀏覽器得到假的域名

 

      操做：給cookie加一個時間戳和ip進行加密，具體能夠經過查看瀏覽器的cookie，看是不是加密串。

 

 1.11隱藏目錄泄露

描述：出錯或者直接敲連接，網站顯示出錯誤信息或者目錄，應該用404 這些的錯誤頁面來代替。

操做：檢測系統是否測試生產環境，而且檢測apache是否會顯示目錄問題，另外出錯信息都用404等錯誤頁面代替。

 

2.           外部網站檢測

360網站的驗證

http://webscan.360.cn/

3.           工具檢測

http://www.cnblogs.com/lhb25/archive/2012/06/18/8-useful-and-free-web-application-security-testing-tools.html

 

阿里雲系統自帶的一些檢測工具