安全测试 笔记

DDoS作为一种破坏性很强的网络攻击，危害极大。对DDoS攻击，大部分人的认知来源于新闻报道，但或多或少的对DDoS会有一些认识上的误区。这里，我们整理了常见DDoS的9个误区，希望有助于大家更清晰的了解DDoS。

一、注入漏洞简介 注入漏洞是web应用中最常见的安全漏洞之一，由于一些程序没有过滤用户的输入，攻击者通过向服务器提交恶意的SQL查询语句，应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行，导致改变了程序原始的SQL查询逻辑，额外的执行了攻击者构造的SQL查询语句，从而导致注入漏洞的产生。 攻击者通过SQL注入可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作。常见的建站系统出现SQL注入漏洞风险概率是非常高的，而本文就SQL注入漏洞的挖掘方法和大家分享交流，其他web安全漏洞暂不做探讨。

本文将会着重介绍防御XSS攻击的一些原则，需要读者对于XSS有所了解，至少知道XSS漏洞的基本原理，如果您对此不是特别清楚，请参考这两篇文章：《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本，而用户的浏览器因为没有办法知道这段脚本是不可信的，所以依然会执行它。对于浏览器而言，它认为这段脚本是来自可以信任的服务器的，所以脚本可以光明正大地访问Cookie，或者保存在浏览器里被当前网站所用的敏感信息，甚至可以知道用户电脑安装了哪些软件。这些脚本还可以改写HTML页面，进行钓鱼攻击。 虽然产生XSS漏洞的原因 […]

对于两年前就已经开始流行的APT攻击，国内外很多媒体都给予了充分的报道，从技术解析到实际攻击案例，一时间似乎这种高级网络威胁充斥着整个信息安全领域，再无其他威胁可以入流了。

注入往往是应用程序缺少对输入进行安全性检查所引起的，攻击者把一些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入，OS Shell，LDAP，Xpath，Hibernate等等，而其中SQL注入尤为常见。这种攻击所造成的后果往往很大，一般整个数据库的信息都能被读取或篡改，通过SQL注入，攻击者甚至能够获得更多的包括管理员的权限。 先来说说sql注入漏洞是怎么产生的，或者说对于一个程序开发人员应该怎么防范SQL注入的吧。

Are Web Application Security Testing Tools a Waste of Time and Money? by Neil MacDonald My previous post on the value of linking web application vulnerability scanning tools with web application firewalls generated a lot of discussion. Take a look through the post and the lengthy comment string. Let […]

目前很多插件不支持 Firefox 3.5 哦 1. Add N Edit Cookies 查看和修改本地的Cookie，Cookie欺骗必备。 下载：http://code.google.com/p/editcookie/downloads/list 2. User Agent Switcher 修改浏览器的User Agent，可以用来XSS。 下载：https://addons.mozilla.org/zh-CN/firefox/addon/59

安全性测试都有什么?简单的就包括跳过权限验证啊，修改提交信息啊，复杂的呢，就有sql盲注、跨站点脚本等等。这些咱们暂时不一一细表，只说说我们为什么要进行安全性测试。 其实网上关于安全性测试的资料并不是非常多，即使有人关注已只是很浅显的谈到部门安全性因素。当然，据我了解部分大公司都有自己的安全性测试团队，这部分工作并不由测试人员进行。 胡扯了两句，今天我们来聊聊为什么进行安全性测试，或者说，安全性到底会引起哪些问题、后果。

下面的场景，用安全测试工具是扫不出问题的，因为问题不是出现在技术层面，而是业务层面，也就是功能测试需要去cover掉的部分。但是在你我的功能测试阶段，这些问题是很有可能被忽略掉的，所以，我在这里要抛砖引玉，以唤起更多人的注意： 1. 一个卖家的账号被盗取了，强盗给店家的宝贝设置了三种打折活动，致使买家在购买商品的时候，如果同时选择参加这三种活动的话，不但不需要付费，还能从卖家那里得到钱——这个问题，如果在功能测试阶段，添加这种折扣活动累加的测试用例，就会及时发现这种问题。但有时候，可能开发人员会质疑说，卖家不会这么傻，这么设置活动的——买的没有卖的精，是测试想太多了，所以，并没有对折扣活动的累 […]