安全测试——目录设置

售前免费咨询热线: 4 0 0 - 1 8 6 - 0 9 0 5
汇智资讯Huizhi information

当前位置:首页 »安全测试——目录设置

安全测试——目录设置

日期:2020-06-29 11:57:12 访问量: 来源:

目录设置对系统的安全性而言非常关键。日常生活中,很多人在一些应用系统中通过某些小手段总能看到本不该展现的数据信息。

 

【案例1 ECShop目录安全测试】

通过某商品的图片属性查看其网络路径,如ECShop商品图片的地址:

http://192.168.0.105/ecshop/images/201605/goods_img/70_G_1462955414630.jpg

 

分析上述路径结构可知,其上一级目录路径为“goods_img”,在浏览器直接键入对应的地址,如“http://192.168.0.105/ecshop/images/201605/goods_img”,可以访问所有图片信息列表,如图1所示,测试工程师如果发现类似的问题,应当及时提出缺陷。

 

安全测试

图1 商品图片列表目录

 

AppScan扫描结果显示ECShop系统存在25个目录安全问题,如图2、图3所示。其他24个目录安全问题此处不一一列出,读者可利用AppScan自行测试验证。

 

安全测试

图2 ECShop目录安全缺陷1

 

安全测试

图3 ECShop目录安全缺陷2

 

除了上述目录安全文件,链接安全性也需关注,如果产品有防下载设置,测试工程师应当进行测试。

有些网络攻击,是通过系统的管理入口进行的。对于常见的管理员后台入口页面名称在设置目录时同样需要注意,不应将入口名称或路径做普通文件设置,应加以保护,如变换入口目录路径或重命名关键文件。例如,管理员入口地址http://192.168.0.105/ecshop/admin”可改为“ttp://192.168.0.105/ecshop/eca”,以免用户轻易猜出入口地址。

 

【案例2 NBSI测试登陆入口安全】

利用NBSI工具探测ECShop管理登陆入口结果如图4所示。

 

安全测试

图4 NBSI扫描网站管理后台结果

汇聚行业精英智慧

致力于高端IT技术人才培养

助力万千学员成就IT梦!

汇智动力

扫码关注 领取资料

www.hzdledu.cn

相关阅读Reading

全国热线:400-186-0905

总部热线:028-6547-1147

周一至周日9:30-24:00

我要咨询
汇智动力微信

汇智动力微信公众号

')