Web安全测试基础-5

新书

速递

吴老的java版《selenium webdriver 实战宝典》和python版《selenium Webdriver 3.0 自动化测试框架实战指南》出版了，代码拿来就能用。

文 | 李文祥

一、Web安全漏洞概念及原理分析

1.6

文件包含漏洞

如下页面，点击file1、file2、file3，页面地址都会随之变化为

由此，page参数就是我们可以利用的地方，我们修改page参数为随意字段，如abc.php访问，则显示：

报错信息中，我们获取到文件的物理路径，可以利用该漏洞读取本地文件，如读取dvwa目录下的php.ini文件，将文件路径进行如下修改：

也就是page参数为"../../php.info"，访问显示如下：

成功读取服务端文件信息，当然，攻击者肯定不满足读取本地文件，攻击者可以修改成可执行php代码进行攻击。

1.7

点击劫持（ClickJacking）

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。也就是通过覆盖不可见的框架误导受害者点击而造成的攻击行为。

隐蔽性高，骗取用户操作，也称UI-覆盖攻击，是利用iframe或者其他标签的属性，如flash也可以。

1.8

URL跳转漏洞与钓鱼

借助未验证的URL跳转，将应用程序引导到不安全的第三方区域，从而导致的安全问题。

下期预告

SQL Map实例

安装喜马拉雅app，搜索“光荣之路”可以收听吴老和他的朋友们分享的35小时测试知识语音