关键词：

随着互联网时代的蓬勃发展，基于Web环境下的应用系统、应用软件也得到了越来越广泛的使用。

目前，很多企业的业务发展都依赖于互联网，比如，网上银行、网络购物、网络游戏等。但，由于很多恶意攻击者想通过截获他人信息去谋取利益，因此，会对Web服务器进行攻击。攻击的方式也非常多，常见的有SQL注入、跨站脚本攻击、跨站请求伪造、缓存区溢出等。

由此，我们不得不对网络环境的安全性加以提升。软件测试工程师通过分析黑客的攻击行为等方式，对网站进行Web安全测试。

1、SQL注入

在Web安全测试中，SQL注入是最为常见的一种手段。主要是指攻击者通过巧妙的构建非法SQL查询命令，插入表单或请求字符串后提交，并根据返回的结果，来获得想要的数据。这就是SQL注入

SQL注入的方法一般有猜测法和屏蔽法。猜测法主要是通过猜测数据库可能存在的表名和列名，根据组合的SQL语句获取数据表的信息。屏蔽法主要是利用SQL输入的不严谨进行逻辑验证，从而使得SQL验证结果始终为真，从而绕开验证的目的。

当然，这2种是SQL注入最基础的、最简单的方法。在测试过程中，我们需要注意命名规则，以及对关键词的屏蔽等。另外，我们也需要在工作中，不断总结经验，更加深入的学习猜想法和屏蔽法等。

2、跨站脚本攻击

跨站脚本攻击（简称XSS），是一种迫使Web站点回显可执行代码的攻击技术。

当Web站点回显后，攻击者会重新提供可执行代码。一般情况下，他们会往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入其中的Script代码会被执行，从而攻击终端用户。

XSS最为常见的攻击方法为反射型XSS和存储型XSS。

反射型XSS，又称非持久型跨站点脚本攻击，也是最常见的XSS攻击方式。这种方式一般需要用户自己去点击链接，才能触发攻击者注入的XSS代码。

而存储型XSS则不同。存储型XSS又称为持久型跨站点脚本攻击，也是最直接危害用户的XSS。当攻击者在服务器中存储了攻击代码后，用户只要打开对应页面，就会触发XSS代码自动执行。这种XSS比较危险，容易产生蠕虫，盗窃用户Cookie等危害。造成这种安全问题的原因，主要是开发者在编程过程中，对一些敏感符号未进行处理，

如“/、“.”、“’”、“‘”、“＜”、“＞”、“？”等。或对数据库字段、数据库类型以及长度的限制等未进行处理。

3、跨站请求伪造

跨站请求伪造（简称CSRF），是一种对网站的恶意利用。它通过伪装普通用户的请求，来利用受信任的网站。与XSS攻击相比，CSRF攻击往往因为不太流行而导致难以防范。所以，我们认为CSRF往往比XSS更具危险性。

简单判断是否存在CSRF漏洞的方法，就是通过抓取正常请求的数据包，然后通过去掉Referer字段，再重新提交。如果二次提交还有效，说明存在CSRF漏洞。

为了防止CSRF，常用的方法就是在AJAX异步请求地址中，添加Token并进行验证，从而降低CSRF出现的可能。

4、缓存区溢出

缓冲区溢出是一种非常普遍存在的漏洞，广泛存在于各种操作系统、应用软件中。

利用缓冲区溢出攻击，可以导致程序出现运行失败、系统关机、重新启动等行为，或执行攻击者的指令，比如非法提升权限等。

在缓冲区溢出中，最为危险的就是堆栈溢出，它可以利用堆栈溢出，在函数返回时，将程序的地址修改为攻击者想要的任意地址，达到攻击者的目的。其最典型的例子，就是1988年利用fingerd漏洞进行攻击的蠕虫。

当然，造成缓冲区溢出的原因有很多。主要原因有对输入、输出的数据没有限制大小、长度以及格式等，还有就是对用户的特殊操作没有做异常处理导致。

所以，在测试过程中，我们需要注意输入输出的大小长度以及格式规范限制，还有需要多模拟一些异常，关注异常的处理情况。

写在最后

对Web应用软件来说，安全性包含Web服务器、数据库、操作系统以及网络的安全等，只要其中任何一个部分出现安全漏洞，都会导致整个系统的安全性问题。Web安全测试是比较难解决的问题，这个取决于测试要达到什么程度。简单说软件不可能做到100%的测试，所以也不要期望可以达到100%的安全。

在实际测试过程中，测试人员主要是针对用户的权限以及数据库的安全性进行测试，还可以借助IBM的安全漏洞扫描工具APPScan来进行漏洞扫描。

最后： 下方这份完整的软件测试视频学习教程已经整理上传完成，朋友们如果需要可以自行免费领取 【保证100%免费】

这些资料，对于【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴上万个测试工程师们走过最艰难的路程，希望也能帮助到你!

 

web安全基础入门—操作系统命令注入（shell注入）(代码片段)

欢迎关注订阅专栏！WEB安全系列包括如下三个专栏：《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致，逻辑清晰、结合实战，并配有大量练习靶场，让你读一篇、练一篇，掌握... 查看详情

接口测试|接口测试入门与实践(代码片段)

接口测试讲义1.接口测试的类型主要包含三种测试：Web接口测试，应用程序接口（API,applicationprogramminginterface）测试，数据库测试。实际上意义就是UI界面到数据库之间，数据流经过的所有过程。LAMP（LinuxApacheMySQLPHP）/LNMP（LinuxNgi... 查看详情

零基础想学习web安全，如何入门？(代码片段)

想学习Web安全，如何入门？一.开始前的思考1.我真的喜欢搞安全吗?2.我想通过安全赚钱钱?3.我不知道做什么就是随便?4.一辈子做安全吗这些不想清楚会对你以后的发展很不利，与其盲目的学习web安全，不如先做一... 查看详情

想学习web安全，如何入门？(代码片段)

开始前的思考1.我真的喜欢搞安全吗?2.我想通过安全赚钱钱?3.我不知道做什么就是随便?4.一辈子做安全吗？这些不想清楚会对你以后的发展很不利，与其盲目的学习web安全，不如先做一个长远的计划。否则在我看来都... 查看详情

网络安全系统教程+渗透测试+学习路线（自学笔记）(代码片段)

一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、... 查看详情

web安全｜渗透测试｜网络安全11天(代码片段)

第11天：WEB漏洞-必懂知识点CTF、SRC（漏洞理解）、红蓝对抗、实战（权限）等简要说明以上漏洞危害情况SQL注入：获取到数据库中的数据，有可能获取网站权限文件上传：获取网站权限XSS跨站：... 查看详情

web安全浅谈反向代理技术(代码片段)

...云防护竞争愈演愈烈，如何最大程度适应大形势下的安全运维习惯，这是对于渗透测试工程师最为迫切的要求。本篇侧重点为反向 查看详情

攻防世界xctf-web入门全通关(代码片段)

...个人博客XCTF的web块入门区非常简单，适合一些刚接触安全或者对网络安全常识比较了解的同学在安全搞累之余娱乐娱乐。其主要考察下面几点：基本的PHP、Python、JS语法基本的代理BurpSuite使用基本的HTTP请求交互过程基本... 查看详情

小白兔快开门，我是你爸爸。web安全基础入门—访问控制漏洞和权限提升(代码片段)

欢迎关注订阅专栏！WEB安全系列包括如下三个专栏：《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致，逻辑清晰、结合实战，并配有大量练习靶场，让你读... 查看详情

web自动化测试-第一讲：selenium快速入门(代码片段)

一、selenium目前住主流的web自动化测试框架：    1、资料丰富资料丰富    2、测试岗位招聘要求，上板率非常之高    3、支持多语言(iava/pythan/go/js)二、selenium安装    1、依赖：        （1）浏览器&... 查看详情

网络安全-常见面试题（web渗透测试密码学linux等）(代码片段)

目录WEB安全OWASPTop10（2017）Injection-注入攻击BrokenAuthentication-失效的身份认证SensitiveDataExposure-敏感数据泄露XXE-XML 外部实体BrokenAccessControl-无效的访问控制SecurityMisconfiguration-安全配置错误XSS-跨站脚本攻击InsecureDeser 查看详情

安全测试web应用安全测试之xxs跨站脚本攻击检测(代码片段)

说明意在对XSS跨站脚本攻击做的简单介绍，让大家对xss攻击有个初步认识，并能够在实际工作当中运用本文所述知识做些简单的、基础性的XSS攻击检测。定义XSS攻击：类似sql注入，简单说，通过“HTML注入”... 查看详情

web自动化测试入门篇03——selenium使用教程(代码片段)

    (阅读目录)1.目的  web自动化测试作为软件自动化测试领域中绕不过去的一个“香饽饽”，通常都会作为广大测试从业者的首选学习对象，相较于C/S架构的自动化来说，B/S有着其无法忽视的诸多优势，从行业发展趋、研发... 查看详情

web安全入门-icmp测试与防御

ICMP简介：ICMP（InternetControlMessageProtocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息... 查看详情

常见web安全漏洞测试指南(代码片段)

任意文件下载漏洞描述一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。测试指南使... 查看详情

xxe漏洞中doctypeentity傻傻分不清-web安全基础入门—xml外部实体注入(xxe)(代码片段)

欢迎关注订阅专栏！WEB安全系列包括如下三个专栏：《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致，逻辑清晰、结合实战，并配有大量练习靶场，让你读... 查看详情

web安全入门-arp测试与防御

ARP测试ARP测试就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，测试者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人测试。特点由于... 查看详情

2022年车联网政策年终大盘点

...保险、交通执法、营运资质等；基础支撑涉及到网络安全、地理测绘、数字基础设施、信息通信等诸多领域。本文盘点2022年国家部委、地方智能网联政策，和道路测试与示范管理规范。文|吴冬升（1）国家部委智... 查看详情