安全测试中常见的业务安全问题

这篇具有很好参考价值的文章主要介绍了安全测试中常见的业务安全问题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

“在测试过程中,特殊的操作往往容易触发异常场景,而这些异常场景也很容易引起安全问题!”

常见的安全漏洞就不多说了,这里主要介绍常见的业务安全问题及修复建议。

安全测试中常见的业务安全问题,安全测试,安全,网络,web安全,测试工具,自动化测试,测试用例

01 刷短信

问题描述:

当发送短信的请求接口只需要手机号码或其他可猜解的明文身份ID,则有可能被攻击者通过发包工具,大量发送给其他手机号码或用户,以达到刷短信的目的,这不仅导致资源被占用,还可能会导致被运营商拉黑,使整个网站的短信验证码瘫痪!

建议:

多加一层校验,如:图形验证码、第三方校验等。

02 爆破短信验证码

问题描述:

当验证码为6位数以内纯数字,有可能会被攻击者通过工具穷举爆破!

建议:

限制验证码的有效时间,并且限制验证码的错误次数。在这并不建议只加长短信验证码位数,不能把赌注押在日益更新的计算机性能上!

03 重置密码

问题描述:

当重置密码接口,只需要可猜解的明文身份ID或其他已暴露的信息时,有可能会被攻击者通过改包工具,更改用户身份,来达到篡改其他人的用户密码。

建议:

1、校验当前用户身份与短信验证码是否匹配;

2、用户身份加密,不可被猜解;

3、如果使用加密信息校验用户身份,需要保管好加密信息,不能随意显示在外面,并且限制好加密信息有效范围,防止加密信息泄密后被攻击者利用。

04 第三方登录

问题描述:

当使用第三方登录时,只需要第三方传过来的可猜解的明文身份ID,有可能会被攻击者利用篡改数据,冒充其他用户!

建议:

后端校验用户身份不要直接校验明文可猜解或公开的用户信息,可进行加密处理后再校验。

05 后端校验逻辑漏洞

问题描述:

1、每个业务最后一步变更数据的请求接口如果不做校验只接收数据,有可能会被攻击者利用,进行篡改已固定的数据!

2、同时执行多个有相关联的业务处理时,有可能会导致业务逻辑漏洞。

问题一建议:

1、控制参数值的有效范围;

2、校验处理的数据是否与提交请求的数据一致;

3、APP做校验证书,APP只信任服务器公钥。

问题二建议:

1、按顺序执行,需要共同资源时,单个执行,不建议并发处理;

2、先判断后处理还是先处理后判断,要注意业务处理先后顺序。

安全测试中常见的业务安全问题,安全测试,安全,网络,web安全,测试工具,自动化测试,测试用例文章来源地址https://www.toymoban.com/news/detail-641595.html

到了这里,关于安全测试中常见的业务安全问题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 黑客和安全专业人员最重要的网络渗透测试工具

    导语:在这里您可以找到涵盖在所有环境中执行渗透测试操作的综合网络安全工具列表。 · OpenVAS – OpenVAS是一个包含多种服务和工具的框架,可提供全面而强大的漏洞扫描和漏洞管理解决方案。 · Metasploit Framework – 针对远程目标计算机开发和执行漏洞攻击代码的最佳网络安

    2024年02月06日
    浏览(53)
  • 网络安全渗透测试工具AWVS14.6.2的安装与使用(激活)

    Acunetix Web Vulnerability Scanner(AWVS)是一款用于检测网站和Web应用程序中安全漏洞的自动化工具。它的主要功能包括: 漏洞扫描:AWVS能够自动扫描目标网站和Web应用程序,以发现各种安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。它可以检测一系列漏洞,并

    2024年02月06日
    浏览(57)
  • 【网络安全】免费DDOS攻击测试工具_免费ddos平台攻击(1)

    它可以通过使用单个用户执行DOS攻击小型服务器,工具非常易于使用,即便你是一个初学者。这个工具执行DOS攻击通过发送UDP,TCP或HTTP请求到受害者服务器。你只需要知道服务器的IP地址或URL,其他的就交给这个工具吧。 下载: http://sourceforge.net/projects/loic/ 2、XOIC XOIC是另一个

    2024年04月26日
    浏览(44)
  • 顶级区块链开发人员工具:涉及框架、IDE、安全工具、测试网络、区块链预言机和节点服务

    据报道,现在区块链是发展最快的领域之一。随着区块链项目(DeFi、NFT、DAO)的激增,对区块链开发人员的需求也在直线上升。 如果已经在区块链上进行了构建,或者计划构建,那么这里有关于创建区块链应用程序的一些最佳工具的介绍。 编程语言 要开发区块链应用程序,就

    2024年01月17日
    浏览(62)
  • 【十年网络安全工程师整理】—100渗透测试工具使用方法介绍

     渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对 某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告, 并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告, 可以清晰知晓系统中存在的安

    2024年02月02日
    浏览(51)
  • 网络安全|渗透测试入门学习,从零基础入门到精通—动态分析技术工具OllyDbg界面介绍

    目录 动态分析技术调试器 什么是OllyDbg OllyDbg能干什么 OllyDbg窗口介绍 1、反汇编面板窗口 2、信息面板窗口 3、数据面板窗口 4、寄存器面板窗口 5、栈面板窗口 动态分析技术中最重要的工具是调试器,分为用户模式和内核模式两种类型。用户模式调试器是指用来调试用户模式

    2024年02月11日
    浏览(51)
  • 自动化API测试工具ReadyAPI新增业务历史记录功能

    解锁无缝软件开发:探索ReadyAPI虚拟化 的力量 在快速发展的软件开发环境中,创建稳健且反应灵敏的应用程序已然成为重中之重。 让我们一起来看看ReadyAPI虚拟化。这个解决方案让开发人员能够在受控的环境中模拟和测试其应用程序的性能,从而确保无缝的用户体验。 随着

    2024年02月06日
    浏览(45)
  • 软件测试 | 常见代理工具

    各种功能强大的代理工具在接口测试中发挥着作用,如Charles、Burpsuite、Mitmproxy等。这些代理工具可以帮助我们构造各种测试场景,以便我们更好地完成测试工作。下面的介绍以Charles为主。 Charles是一款代理服务器工具,用它可以截取请求和响应以达到抓包的目的,它支持多平

    2024年01月20日
    浏览(52)
  • centos系统6种常见的测试工具

    CentOS 系统中 ping, traceroute, nslookup,iperf3,netperf,speedtest-cli 这几种网络测速工具的使用方法及其使用命令的详细说明和举例: ping ping 命令用于测试网络连通性和测量目标主机的响应时间。其基本用法为: 其中 destination 可以是域名或 IP 地址。 例如, ping www.baidu.com 给出的结果

    2024年02月04日
    浏览(38)
  • Web 性能测试工具

    作为网站应用的开发者或维护者,我们需要时常关注网站当前的健康状况,譬如在主流程运行正常的情况下,各方面性能体验是否满足期望,是否存在改进与提升的空间,如何进行快速且准确的问题定位等,为了满足这些诉求,我们需要进行全面且客观的性能检测。 性能检测

    2024年02月02日
    浏览(62)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包