web安全工作总结

web安全工作总结

篇一：web 安全测试要点总结

Web 应用安全威胁分为如下六

类： ........................ . (2)

二、常见针对Web应用攻击的十大手段...

(2)

三、Rational AppScan功能简介...

(3)

四、Web安全体系测试...

(4)

五、web安全测试的checklist

(5)

六、跨站点脚本攻击测试要

点 .........................

丿\\、 .....................

.. 7

Cookie ： .......................

击 ： .

(10)

攻

八、

跨站点

(12)

九、

DOS

攻

击 ： .

(13)

十、

暴力

破

解

.......

(14)

十一

、 sql

注

入

.......

Web 应用安全威胁分为如下六类：

Authentication （验证）用来确认某用户、服务或是应用身份的攻击手段。

Authorization （授权）用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。

Client-Side Attacks （客户侧攻击）

用来扰乱或是探测Web 站点用户的攻击手段。

Command Execution （命令执行）

在Web 站点上执行远程命令的攻击手段。

Information Disclosure （信息暴露）

用来获取Web 站点具体系统信息的攻击手段。

Logical Attacks （逻辑性攻击）

用来扰乱或是探测Web 应用逻辑流程的攻击手段

二、常见针对Web 应用攻击的十大手段负面影响后果

黑客可以模拟合法用户，控制其帐户。

注入攻击通过构造查询对数据库、LDAP 黑客可以访问后端数据库信

和其他系统进行非法查询。

恶意文件执行在服务器上执行Shell 命令

Execute ，获取控制权。

不安全对象引用黑客访问敏感文件和资源息，修改、