網頁bug測不出來？不知道的還不點進來瞅瞅！

前言：

如今不少活動都離不開的互聯網的助力，好比新年的集五福活動，每一年電商巨頭的61八、雙11、雙十二大促活動，亦或者休閒遊戲，食品零售等等，無一不在互聯網的生態圈之中。

也正是愈來愈多人成爲了互聯網的一員，不少***爲了給本身謀利，變經過***網頁服務器等方式，截獲他人信息。***的方式也很是多，常見的有SQL注入、跨站腳本***、跨站請求僞造、緩存區溢出等。

由此，一方面，咱們須要增強網絡安全建設，在網頁搭建時，就對安全性方面作重點監控；另外一方面，咱們要充分認識網絡bug有哪些，瞭解***可能的***點，提高本身的業務水平，方能協助開發人員，共同維護網絡安全。

正文：

那麼，平常生活中，常見的網絡問題有哪些呢？今天咱們就一塊兒來探討下。

一、SQL注入類問題

在Web安全測試中，SQL注入是最爲常見的一種手段。主要是指***者經過巧妙的構建非法SQL查詢命令，插入表單或請求字符串後提交，並根據返回的結果，來得到想要的數據。這就是SQL注入。

SQL注入的方法通常有猜想法和屏蔽法。猜想法主要是經過猜想數據庫可能存在的表名和列名，根據組合的SQL語句獲取數據表的信息。屏蔽法主要是利用SQL輸入的不嚴謹進行邏輯驗證，從而使得SQL驗證結果始終爲真，從而繞開驗證的目的。

二、跨站腳本***問題

跨站腳本***（簡稱XSS），是一種迫使Web站點回顯可執行代碼的***技術。

當Web站點回顯後，***者會從新提供可執行代碼。通常狀況下，他們會往Web頁面裏插入惡意Script代碼，當用戶瀏覽該頁面時，嵌入其中的Script代碼會被執行，從而***終端用戶。

XSS最爲常見的***方法爲反射型XSS和存儲型XSS。其中，反射型XSS，又稱非持久型跨站點腳本***，也是最多見的XSS***方式。

而存儲型XSS則不一樣。它是一種持久型跨站點腳本***，也是最直接危害用戶的XSS。當***者在服務器中存儲了***代碼後，用戶只要打開對應頁面，就會觸發XSS代碼自動執行。

三、跨站請求僞造問題

跨站請求僞造（簡稱CSRF），是一種對網站的惡意利用。它經過假裝普通用戶的請求，來利用受信任的網站。與XSS***相比，CSRF***每每由於不太流行而致使難以防範。因此，咱們認爲CSRF每每比XSS更具危險性。

四、緩存區溢出問題

緩衝區溢出是一種很是廣泛存在的漏洞，普遍存在於各類操做系統、應用軟件中。

利用緩衝區溢出***，能夠致使程序出現運行失敗、系統關機、從新啓動等行爲，或執行***者的指令，好比非法提高權限等。

在緩衝區溢出中，最爲危險的就是堆棧溢出，它能夠利用堆棧溢出，在函數返回時，將程序的地址修改成***者想要的任意地址，達到***者的目的。其最典型的例子，就是1988年利用fingerd漏洞進行***的蠕蟲。

那麼，解決這些頁面***問題，有哪些可行的辦法呢？

一、關於SQL注入類問題

對於猜想法和屏蔽法來講，它們是SQL注入最基礎的、最簡單的方法。在測試過程當中，咱們須要注意命名規則，以及對關鍵詞的屏蔽等。另外，咱們也須要在工做中，不斷總結經驗，更加深刻的學習猜測法和屏蔽法等。

二、關於跨站腳本***問題

關於反射型XSS，通常只有咱們本身點進連接，才能觸發***者注入的XSS代碼。這種方式的解決辦法就是：慎點。

而存儲型XSS則不一樣。這種XSS比較危險，容易產生蠕蟲，盜竊用戶Cookie等危害。在作這類問題測試時，必定要對程序的代碼有必定的認知，尤爲是要檢查程序中的敏感符號，例如：「/、「.」、「’」、「‘」、「＜」、「＞」、「？」等。檢查這些特殊字符是否存在違規使用，或檢查是否存在數據庫字段、數據庫類型以及長度的限制等，未進行處理的狀況發生。

三、關於跨站請求僞造問題

簡單判斷是否存在CSRF漏洞的方法，就是經過抓取正常請求的數據包，而後經過去掉Referer字段，再從新提交。若是二次提交還有效，說明存在CSRF漏洞。

爲了防止CSRF，經常使用的方法就是在AJAX異步請求地址中，添加Token並進行驗證，從而下降CSRF出現的可能。

四、緩存區溢出問題

事實上，形成緩衝區溢出的緣由有不少。主要緣由有對輸入、輸出的數據沒有限制大小、長度以及格式等，還有就是對用戶的特殊操做沒有作異常處理致使。

因此，在測試過程當中，咱們須要注意輸入輸出的大小長度以及格式規範限制，還有須要多模擬一些異常，關注異常的處理狀況。

對Web應用軟件來講，安全性包含Web服務器、數據庫、操做系統以及網絡的安全等，只要其中任何一個部分出現安全漏洞，都會致使整個系統的安全性問題。Web安全測試是比較難解決的問題，這個取決於測試要達到什麼程度。簡單說軟件不可能作到100%的測試，因此也不要指望能夠達到100%的安全。

最後衷心但願咱們的測試小達人們，能不斷提高本身的業務水平，爲互聯網用戶的隱私數據，作好保駕護航。

寫在最後：

沒有一個寒冬不會過去，沒有一個春天不會到來，過去的2020年對於全世界人民來講是不平凡的一年，每一個人都在堅強勇敢的和疫情抗戰，在這裏咱們一塊兒爲本身鼓個掌吧，2021年已經如約而至，制定好目標繼續向上生長吧。