安全测试——Session与Cookie安全&异常操作

售前免费咨询热线: 4 0 0 - 1 8 6 - 0 9 0 5
汇智资讯Huizhi information

当前位置:首页 »安全测试——Session与Cookie安全&异常操作

安全测试——Session与Cookie安全&异常操作

日期:2020-07-16 11:00:37 访问量: 来源:

攻击者通过伪造Session或恶意读取Cookie,从而窃取用户的信息都是非常严重的安全事故,因此在测试时需关注Session的失效机制及失效时间、Cookie记录与读取的权限。

 

【案例1 ECShop Session与Cookie安全缺陷】

AppScan测试出ECShop关于Cookie方面存在2个安全风险,如图1、图2所示。

 

安全测试

图1 Cookie安全问题1

 

安全测试

图2 Cookie安全问题2

 

 

异常操作

 

 

测试工程师不能奢望用户按照系统设计的意愿去使用,因此在测试任何功能、业务过程中需模拟任何的异常操作,验证系统能否经得起考验,如输入过长的数据、输入特殊符号、上传带恶意代码的文件、非法下载禁止下载的文件等。

 

【案例2 商品添加功能HTML代码注入测试】

ECShop后台添加商品分类名称中输入HTML代码,如图3所示。

 

安全测试

图3 添加html格式的分类名称

 

保存后,系统没有做出任何处理,能够成功保存,且在列表中显示该button分类,如图4所示。

 

安全测试

图4 分类名称显示为按钮

 

上述的处理是不正确的,系统应当限制此类数据的输入。

汇聚行业精英智慧

致力于高端IT技术人才培养

助力万千学员成就IT梦!

汇智动力

扫码关注 领取资料

www.hzdledu.cn

相关阅读Reading

全国热线:400-186-0905

总部热线:028-6547-1147

周一至周日9:30-24:00

我要咨询
汇智动力微信

汇智动力微信公众号

')