在網(wǎng)站制作、成都網(wǎng)站建設(shè)過程中，需要針對客戶的行業(yè)特點、產(chǎn)品特性、目標受眾和市場情況進行定位分析，以確定網(wǎng)站的風格、色彩、版式、交互等方面的設(shè)計方向。創(chuàng)新互聯(lián)還需要根據(jù)客戶的需求進行功能模塊的開發(fā)和設(shè)計，包括內(nèi)容管理、前臺展示、用戶權(quán)限管理、數(shù)據(jù)統(tǒng)計和安全保護等功能。

1.檢測指標：

1.2密碼安全：

       描述：判斷密碼是不是容易被盜取

操作：可以通過瀏覽器查看是否加密，并將加密作為獨立請求進行測試驗。    此外曉風后臺的登陸沒有手機驗證碼進行驗證功能，我們目前系統(tǒng)增加了這塊驗證使得系統(tǒng)登陸更加安全。

1.3SQL注入檢測

描述：檢測Web網(wǎng)站是否存在SQL注入漏洞，如果存在該漏洞，***者對注入點進行注入***，可輕易獲得網(wǎng)站的后臺管理權(quán)限，甚至網(wǎng)站服務(wù)器的管理權(quán)限。

操作：下載acunetix webvulnerability scanner進行掃描檢測。

1.4上傳漏洞

描述：檢測Web網(wǎng)站的上傳功能是否存在上傳漏洞，如果存在此漏洞，***者可直接利用該漏洞上傳***獲得WebShell。

操作：檢測前臺是否有上傳的地方，并且檢查是否可以上傳.asp，.exe甚至其他shell腳步文件

1.5 表單繞過：

描述：如何很多邏輯的驗證或者計算只是在表單頁面進行，那么***者可以通過繞過頁面直接對后臺進行數(shù)據(jù)提交

操作：開發(fā)人員需要檢測頁面的邏輯驗證是否在后臺都具備相應(yīng)的操作，并養(yǎng)成好的開發(fā)習慣。

 

1.6 URL非法訪問

描述：直接獲取網(wǎng)站中某個URL地址，進行瀏覽器上的訪問。

操作：直接拷貝幾個帶有參數(shù)的URL放入到瀏覽器上進行驗證，系統(tǒng)開發(fā)上考慮一下是不是攔截有遺漏，特別是我們自己開發(fā)的部分以及用于測試的頁面。

 

1.7敏感信息泄露

描述：系統(tǒng)的個人資料應(yīng)該受到保護，有些系統(tǒng)通過id來查找相應(yīng)用戶資料。

操作：查看系統(tǒng)中是否存在通過id為參數(shù)的請求，并隨便修改id的數(shù)字進行url請求

 

1.8 XSS跨站腳本。

描述：檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞，如果存在該漏洞，網(wǎng)站可能遭受Cookie欺騙、網(wǎng)頁掛馬等***。

操作：檢測所有輸入框是否可以輸入html的標簽，特別是腳步

 

1.9跨站點請求偽造

描述：跨站點請求偽造***通過強制已登錄受害者的瀏覽器香目標網(wǎng)站發(fā)送預(yù)認證請求，然后強制受害者瀏覽器執(zhí)行有利于***者的行為。

操作：在每個請求頁面請求前，自動產(chǎn)生隨機數(shù)加密串，后臺進行解密進行驗證。查看是否所有請求都符合這個規(guī)則。

 

1.10 Cookie 欺詐

Cookie欺騙的途徑有：

1. 跳過瀏覽器，直接對通訊數(shù)據(jù)改寫

2. 修改瀏覽器，讓瀏覽器從本地可以讀寫任意域名Cookie

3. 使用簽名腳本，讓瀏覽器從本地可以讀寫任意域名Cookie

4. 欺騙瀏覽器，讓瀏覽器獲得假的域名

 

      操作：給cookie加一個時間戳和ip進行加密，具體可以通過查看瀏覽器的cookie，看是否是加密串。

 

 1.11隱藏目錄泄露

描述：出錯或者直接敲鏈接，網(wǎng)站顯示出錯誤信息或者目錄，應(yīng)該用404 這些的錯誤頁面來代替。

操作：檢測系統(tǒng)是否測試生產(chǎn)環(huán)境，并且檢測apache是否會顯示目錄問題，另外出錯信息都用404等錯誤頁面代替。

 

2.           外部網(wǎng)站檢測

360網(wǎng)站的驗證

http://webscan.#/

3.           工具檢測

http://www.cnblogs.com/lhb25/archive/2012/06/18/8-useful-and-free-web-application-security-testing-tools.html

 

阿里云系統(tǒng)自帶的一些檢測工具

 

 

 

 

 

 

網(wǎng)站欄目：網(wǎng)站安全檢測點
路徑分享：http://chinadenli.net/article34/goidse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、全網(wǎng)營銷推廣、靜態(tài)網(wǎng)站、網(wǎng)站設(shè)計公司、網(wǎng)站策劃、營銷型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)