网页安全检查点学习总结

第一篇：网页安全检查点学习总结网页安全检查点输入的数据没有进行有效的控制和验证1)数据类型（字符串，整型，实数，等）2)允许的字符集3)最小和最大的长度4)是否允许空输入5)参数是否是必须的6)重复是否允许7)数值范围8)特定的值（枚举型）9)特定的模式（正则表达式）（注：建议尽量采用白名单）2用户名和密码1)检测接口程序连接登录时，是否需要输入相应的用户2)是否设置密码最小长度（密码强度）3)用户名和密码中是否可以有空格或回车？4)是否允许密码和用户名一致5)防恶意注册：可否用自动填表工具自动注册用户？（傲游等）6)遗忘密码处理7)有无缺省的超级用户?（admin等，关键字需屏蔽）8)有无超级密码?9)是否有校验码？10)密码错误次数有无限制？11)大小写敏感？12)口令不允许以明码显示在输出设备上13)强制修改的时间间隔限制（初始默认密码）14)口令的唯一性限制（看需求是否需要）15)口令过期失效后，是否可以不登陆而直接浏览某个页面16)哪些页面或者文件需要登录后才能访问/下载17)cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息3直接输入需要权限的网页地址可以访问避免研发只是简单的在客户端不显示权限高的功能项举例Bug：1)没有登录或注销登录后，直接输入登录后才能查看的页面的网址（含跳转页面），能直接打开页面；2)注销后，点浏览器上的后退，可以进行操作。3)正常登录后，直接输入自己没有权限查看的页面的网址，可以打开页面。4)通过Http抓包的方式获取Http请求信息包经改装后重新发送5)从权限低的页面可以退回到高的页面（如发送消息后，浏览器后退到信息填写页面，这就是错误的）上传文件没有限制1)上传文件还要有大小的限制。2)上传木马病毒等（往往与权限一起验证）3)上传文件最好要有格式的限制；5不安全的存储1)在页面输入密码，页面应显示“*****”；2)数据库中存的密码应经过加密；3)地址栏中不可以看到刚才填写的密码；4)右键查看源文件不能看见刚才输入的密码；5)帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号6操作时间的失效性1)检测系统是否支持操作失效时间的配置，同时达到所配置的时间内没有对界面进行任何操作时，检测系统是否会将用户自动失效，需要重新登录系统。2)支持操作失效时间的配置。3)支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。如，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。7日志完整性1)检测系统运行时是否会记录完整的日志如进行详单查询，检测系统是否会记录相应的操作员、操作时间、系统状态、操作事项、IP地址等。2)检测对系统关键数据进行增加、修改和删除时，系统是否会记录相应的修改时间、操作人员和修改前的数据记录系统服务器安全检查点1）检查关闭不必要的服务2）是否建立安全账号策略和安全日志3）是否已设置安全的IIS，删除不必要的IIS组件和进行IIS安全配置4）Web站点目录的访问权限是否过大5）服务器系统补丁是否打上，是否存在系统漏洞6）扫描检测木马数据库安全检查点1.系统数据是否机密1）尽量不要使用Sa账户，密码够复杂2）严格控制数据库用户的权限，不要轻易给用户直接的查询、更改、插入、删除权限。可以只给用户以访问视图和执行存储过程的权限3）数据库的帐号，密码（还有端口号）是不是直接写在配置文件里而没有进行加密2.系统数据的完整性3.系统数据可管理性4.系统数据的独立性5.系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）1）服务器突然断电，这可能导致配置文件的错误导致无法访问或者数据的丢失;2）重做日志发生损坏，这可能导致数据库管理员无法把数据恢复到故障发生时的点;3）硬盘发生故障而导致数据丢失，这主要是要测试备份文件异地存放的有效性;4）数据批量更新的错误处理，这主要是数据库备份测试数据库管理员在进行批量更新之前是否有先对数据库进行备份的习惯，等等。支付宝接口检查点1.支付的接口2.支付的入口3.与各个银行的数据接口安全4.与支付宝的接口网页安全测试工具IBMAppScanIBMAppScan该产品是一个领先的Web应用安全测试工具，曾以WatchfireAppScan的名称享誉业界。RationalAppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如SQL注入（SQL-injection）、跨站点脚本攻击（cross-sitescripting）、缓冲区溢出（bufferoverflow）及最新的Flash/Flex应用及Web2.0应用曝露等方面安全漏洞的