學習章節:
測試入門到精通\軟體測試零基礎入門資料2015\第二階段:web測試模組\5.web安全性測試\第3章 3.web安全性測試--檔案上傳漏洞
學習內容:
檔案上傳漏洞是指網路攻擊者上傳了乙個可執行的檔案到伺服器並執行。這裡上傳的檔案可以是木馬,病毒,惡意指令碼或者webshell等。
危害:上傳檔案是web指令碼語言,伺服器的web容器解釋並執行了使用者上傳的指令碼,導致**執行。
上傳檔案是flash的策略檔案crossdomain.xml,黑客用以控制flash在該域下的行為(其他通過類似方式控制策略檔案的情況類似);
上傳檔案是釣魚或為包含了指令碼的,在某些版本的瀏覽器中會被作為指令碼執行,被用於釣魚和欺詐
WEB安全性測試之檔案上傳漏洞
1 漏洞描述 檔案上傳漏洞,是指可以利用web上傳一些特定的檔案包含特定 如 可以用於讀取伺服器配置資訊。上傳成功後可以點選 上傳漏洞是指使用者上傳了乙個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行伺服器端命令的能力。檔案上傳本身是web中最為常見的一種功能需求,關鍵是檔案上傳之後伺服器端的處理...
什麼是web安全性測試?
乙個完整的 web安全體系 可以從部署與基礎結構,輸入驗證,身份驗證,授權,配置管理,敏感資料,會話管理,加密,引數操作,異常管理,審核和 記錄等幾個方面入手 web安全性測試 資料加密 某些資料需要進行資訊加密和過濾後才能進行資料傳輸,例如使用者信用卡資訊 使用者登陸密碼資訊等。此時需要進行相應的...
web安全 檔案上傳漏洞
檔案上傳漏洞 所謂的檔案上傳漏洞是指使用者上傳了乙個可執行指令碼,並通過指令碼檔案獲得執行伺服器端命令 的能力。檔案上傳本身是沒有問題的,它只是一種正常的業務需求,問題出在檔案上傳後伺服器怎麼處理 解釋檔案。檔案上傳後導致常見的安全問題一般包括 1,上傳檔案是web指令碼語言,伺服器的web容器解釋...