Web安全测试基础-5

新书

速递

吴老的java版《selenium webdriver 实战宝典》和python版《selenium Webdriver 3.0 自动化测试框架实战指南》出版了,代码拿来就能用。

文 | 李文祥

一、Web安全漏洞概念及原理分析

1.6

文件包含漏洞

如下页面,点击file1、file2、file3,页面地址都会随之变化为

由此,page参数就是我们可以利用的地方,我们修改page参数为随意字段,如abc.php访问,则显示:

报错信息中,我们获取到文件的物理路径,可以利用该漏洞读取本地文件,如读取dvwa目录下的php.ini文件,将文件路径进行如下修改:

也就是page参数为"../../php.info",访问显示如下:

成功读取服务端文件信息,当然,攻击者肯定不满足读取本地文件,攻击者可以修改成可执行php代码进行攻击。

1.7

点击劫持(ClickJacking)

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。也就是通过覆盖不可见的框架误导受害者点击而造成的攻击行为。

隐蔽性高,骗取用户操作,也称UI-覆盖攻击,是利用iframe或者其他标签的属性,如flash也可以。

1.8

URL跳转漏洞与钓鱼

借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。

下期预告

SQL Map实例

安装喜马拉雅app,搜索“光荣之路”可以收听吴老和他的朋友们分享的35小时测试知识语音

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171225B0Y2LI00?refer=cp_1026

同媒体快讯

  • Web安全测试基础

    2018-10-18
  • 产品测试规范

    2018-10-18

相关快讯

扫码关注云+社区