软件安全性测试常见的问题，贵州软件评审来聊聊

2021-08-30 16:31:19

次

01、问题：有问题的访问控制

测验办法：

主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，检查是否能够直接进入该复制好的地址

例：从一个页面链到另一个页面的间隙能够看到URL地址

直接输入该地址，能够看到自己没有权限的页面信息

02、问题：错误的认证和会话管理

剖析：帐号列表：系统不应该允许用户浏览到网站的帐号，假如要一个用户列表，引荐运用某种形式的化名(屏幕名)来指向实践的帐号。

浏览器缓存：认证和会话数据不应该作为GET的一部分来发送，应该运用POST。

03、问题：缓冲区溢出

分析：用户运用缓冲区溢出来破坏web应用程序的栈，通过发送编写的代码到web程序中，攻击者能够让web应用程序来执行任意代码。

04、问题：不恰当的异常处理

剖析：程序在抛出异常的时给出了比较具体的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞。

05、问题：不安全的存储

没有加密关键数据

例：view-source：http地址能够查看源代码

在页面输入密码，页面显现的是 *****, 右键，检查源文件就能够看见刚才输入的密码。

06、问题：拒绝服务

剖析：攻击者能够从一个主机发生足够多的流量来耗尽很多应用程序，使程序陷入瘫痪。

需要做负载均衡来对付。

07、问题：不安全的配置管理

分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以维护

程序员应该作的：配置安全机制，关掉不运用的服务，设置角色权限帐号，使用日志和警报。

贵州软件评审

(本文内容来源于网络，如有侵权请联系删除)