📅  最后修改于: 2020-12-04 05:21:16        🧑  作者: Mango

大多数Web应用程序在使功能可被用户访问之前先验证函数级别的访问权限。但是，如果未在服务器上执行相同的访问控制检查，则黑客可以在没有适当授权的情况下侵入应用程序。让我们借助简单的图表了解此漏洞的威胁代理，攻击媒介，安全漏洞，技术影响和业务影响。例这是缺少功能级别访问控制的经典示例-黑客只是强制目标URL。通常，管理员访问权限需要身份验证，但是，如果未验证应用程序访问权限，则未经身份验证的用户可以访...

📅  最后修改于: 2020-12-04 05:21:36        🧑  作者: Mango

当应用程序中使用的组件(例如库和框架)几乎总是以完全特权执行时，就会发生这种威胁。如果利用了易受攻击的组件，则使黑客的工作更容易造成严重的数据丢失或服务器接管。让我们借助简单的图表了解此漏洞的威胁代理，攻击媒介，安全漏洞，技术影响和业务影响。例以下示例使用具有已知漏洞的组件-攻击者可以通过不提供身份令牌来调用具有完全权限的任何Web服务。通过基于Java的Spring Framework应用程序引...

📅  最后修改于: 2020-12-04 05:21:54        🧑  作者: Mango

互联网上的大多数Web应用程序经常将用户重定向并转发到其他页面或其他外部网站。但是，在不验证那些页面的信誉的情况下，黑客可以将受害者重定向到网络钓鱼或恶意软件站点，或者使用转发来访问未经授权的页面。让我们借助简单的图表了解此漏洞的威胁代理，攻击媒介，安全漏洞，技术影响和业务影响。例未验证的重定向和转发的一些经典示例如下：让我们说应用程序有一个页面-redirect.jsp，它带有一个参数redir...

📅  最后修改于: 2020-12-04 05:22:16        🧑  作者: Mango

异步Java语言和XML(AJAX)是用于开发Web应用程序以提供丰富的用户体验的最新技术之一。由于它是一项新技术，因此有许多安全问题尚未完成，下面是AJAX中的一些安全问题。攻击面更多，因为有更多的输入要确保。它还公开了应用程序的内部功能。无法保护身份验证信息和会话。客户端和服务器端之间的界限非常狭窄，因此存在犯安全错误的可能性。例这是AJAX安全的示例-2006年，使用XSS和AJAX的蠕虫感...

📅  最后修改于: 2020-12-04 05:22:35        🧑  作者: Mango

在现代的基于Web的应用程序中，不可避免地会使用Web服务，并且它们也容易受到攻击。由于Web服务请求从多个网站获取，因此开发人员必须采取一些其他措施，以避免黑客进行任何形式的渗透。动手步骤1-导航到Webgoat的Web服务区域，然后转到WSDL扫描。现在，我们需要获取其他一些帐号的信用卡详细信息。该场景的快照如下所述。步骤2-如果我们选择名字，则通过SOAP请求xml进行“ getFirstN...

📅  最后修改于: 2020-12-04 05:22:55        🧑  作者: Mango

当程序试图在临时数据存储区(缓冲区)中存储的数据量超出预期的范围时，就会发生缓冲区溢出。由于创建的缓冲区包含有限数量的数据，因此多余的信息可能溢出到相邻的缓冲区中，从而破坏了其中保存的有效数据。例这是缓冲区溢出的经典示例。它演示了由第一种情况引起的简单缓冲区溢出，在第一种情况下，它依赖于外部数据来控制其行为。无法限制用户输入的数据量，程序的行为取决于用户放入的字符。动手步骤1-我们需要使用名称和房...

📅  最后修改于: 2020-12-04 05:23:13        🧑  作者: Mango

拒绝服务(DoS)攻击是黑客试图使网络资源不可用。它通常会暂时或无限期中断连接到Internet的主机。这些攻击通常针对托管在关键任务Web服务器上的服务，例如银行，信用卡支付网关。DoS的症状网络性能异常降低。特定网站不可用。无法访问任何网站。收到的垃圾邮件数量急剧增加。长期拒绝访问Web或任何Internet服务。特定网站不可用。动手步骤1-启动WebGoat，然后导航到“拒绝服务”部分。该场...

📅  最后修改于: 2020-12-04 05:23:31        🧑  作者: Mango

开发人员经常直接使用可能存在漏洞的输入或将其与文件连接在一起，或者假定输入文件是真实的。如果未正确检查数据，则可能导致Web服务器处理或调用易受攻击的内容。例一些经典的例子包括-将.jsp文件上传到Web树中。上传.gif以调整大小。上传大文件。上载包含标签的文件。将.exe文件上传到Web树中。动手步骤1-启动WebGoat并导航到恶意文件执行部分。该场景的快照在下面给出-步骤2-为了完成本课程...

📅  最后修改于: 2020-12-04 05:24:08        🧑  作者: Mango

有多种工具可用于执行应用程序的安全性测试。很少有工具可以执行端到端安全性测试，而有些工具专用于发现系统中特定类型的缺陷。开源工具给出了一些开源安全测试工具-S.No.Tool Name1Zed Attack ProxyProvides Automated Scanners and other tools for spotting security flaws.https://www.owasp.o...

📅  最后修改于: 2020-12-04 05:24:26        🧑  作者: Mango

以下资源包含有关安全测试的其他信息。请使用它们来获得有关此方面的更深入的知识。安全测试的有用链接开放式Web应用程序安全性项目-开放式Web应用程序安全性项目。开源安全测试方法手册-测试和实施。开源软件测试工具-开源软件测试工具。关于安全测试的有用书籍要在此页面上注册您的网站，请发送电子邮件至...

📅  最后修改于: 2020-12-04 05:24:38        🧑  作者: Mango

执行安全测试以揭示系统中的安全漏洞，以保护数据和维护功能。本教程通过简单实用的示例说明了安全测试的核心概念和相关主题。...