以下是安全性测试中常用的有用术语:
1)什么是“渗透测试”?
渗透测试是通过使用各种恶意技术评估系统或网络来识别应用程序中的安全漏洞的一种安全测试过程。此测试的主要目的是保护已识别的漏洞,并确保未知用户的重要数据无权访问系统,如黑客。渗透检测可以在谨慎考虑,通知和规划之后进行。
有两种类型的渗透测试,白盒测试和黑盒测试。在白盒测试中,所有信息都是与测试员事先启动测试,如IP地址,代码和基础设施图&测试员将基于可用信息进行测试。在黑盒测试中,测试员没有任何受测系统的信息。这是更准确的测试方法,我们正在模拟测试与真正的黑客,他们没有现有系统的信息。
2)密码破解
在Web应用程序的安全测试中密码破解程序可用于识别弱密码。它可以猜测使用通用的用户名和密码或使用密码破解工具。密码破解确认用户正在使用足够强的密码。
在系统密码中通常以hash的加密格式存储,所以一旦使用尝试使用登录凭据登录,那么为新输入的密码创建哈希,并与原始存储的哈希进行比较,一旦存储的哈希匹配,则用户被认证。自动密码破解基本上是生成随机散列,只要没有发现匹配。最常用的密码破解是使用字典攻击。在这种情况下,自动化工具是尝试所有的单词字典。
如果密码不要求复杂,如密码必须至少有一位数字一个字符和一个特殊字符等,这(密码破解)将会更容易。有时,密码存储在cookie上,如果这样的登录凭据信息存储在Cookie中没有加密,那么黑客可以使用不同的方法获取用户名和密码信息。
3)什么是“脆弱性”?
脆弱性是被测系统的一个弱点,可能会导致未经授权的用户恶意攻击。由于软件中的错误,缺乏安全测试或病毒等原因,此漏洞可能会增大。这些安全漏洞需要修补程序或修复程序,以防止黑客或恶意软件破坏完整性。
4)什么是“URL伪造”?
URL伪造是黑客非常感兴趣和最常用的攻击类型。在这种攻击中,黑客伪造网站URL查询通用modafinil india字符串并捕获重要信息。
当应用程序使用HTTP GET方法在客户端和服务器之间传递信息时,会发生这种情况。信息通过查询字符串中的参数传递。测试人员可以修改查询字符串中的参数值,检查服务器是否接受。
通过HTTP GET请求将用户信息传递给服务器进行身份验证或获取数据。攻击者可以将从GET请求传递的每个输入变量操作到服务器,以获取所需的信息或损坏数据。在这种情况下,应用程序或Web服务器的任何异常行为都是攻击者进入应用程序的入口。
因此在进行安全性测试时,应考虑URL伪造测试用例,以确保使用URL伪造:未经授权的用户无法访问重要信息或不破坏数据库记录。
5)什么是“SQL注入”?
SQL注入是黑客最常用的应用层攻击技术之一。SQL注入是黑客窃取组织数据的几种Web攻击机制之一。SQL注入攻击非常关键,因为攻击者可以从服务器数据库获取重要信息。它是一种类型的攻击,它利用了实现Web应用程序中存在的循环漏洞,允许黑客攻击系统,如将sql查询传递到所有输入字段,并尝试破解系统。
黑客尝试使用SQL注入语句或SQL语句作为用户输入查询数据库,并从系统中提取重要信息,或让系统崩溃,并从浏览器上显示的错误中获取所需信息。
要检查sql注入,我们必须处理诸如文本框,注释等输入字段。特殊字符应该被正确处理或从输入中跳过。
6)跨站脚本(XSS)
跨站点脚本(也称为XSS或CSS)是通常在Web应用程序中发现的一种计算机安全漏洞。跨站脚本是最常见的应用层黑客技术之一。跨站点脚本是Web应用程序中的漏洞,允许攻击者将HTML和JAVASCRIPT代码注入到网页中。这种类型的攻击是将恶意脚本注入受害者的网络浏览器。这些恶意脚本用于窃取存储在Cookie中的重要信息。