收藏
下载资源 加入VIP免费专享

无线安全测试基础.ppt

上传人:本田雅阁 文档编号:3269898 上传时间:2019-08-07 格式:PPT 页数:37 大小:2.72MB
返回 下载 相关 举报
无线安全测试基础.ppt_第1页
第1页 / 共37页
无线安全测试基础.ppt_第2页
第2页 / 共37页
无线安全测试基础.ppt_第3页
第3页 / 共37页
无线安全测试基础.ppt_第4页
第4页 / 共37页
无线安全测试基础.ppt_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《无线安全测试基础.ppt》由会员分享,可在线阅读,更多相关《无线安全测试基础.ppt(37页珍藏版)》请在三一文库上搜索。

1、无线安全测试基础,技术质量部-无线广告测试组 若楠 ruonan.gxxalibaba- 分机:72634,Agenda,常见攻击类型介绍 web页安全测试 客户端安全测试,Agenda,常见攻击类型介绍 web页安全测试 客户端安全测试,XSS,概念 Cross Site Scripting 跨站脚本攻击 攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息 示例 非持久型 (反射型) 指的就是通过GET、POST等参数未加处理直接输出到页面

2、执行 持久型(存储型) 由攻击者输入恶意数据保存在数据库 危害 用户信息被盗 垃圾信息发送 劫持用户Web行为 ,CSRF,概念 Cross-site request forgery 跨站点伪造请求 攻击者盗用了正常用户的身份,代替正常用户发送请求,CSRF,举例 某个bbs可以贴图,在贴图的URL中写入退出登陆的链接,当用户阅读这个帖子之后退出登陆 背景: 银行网站A,它以GET请求来完成银行转账的操作,如:http:/ 危险网站B,它里面有一段HTML的代码如下: 首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块,CSRF,危害 不知不觉中支付宝中的

3、钱少了 购物车莫名其妙添加了商品 不知不觉中对卖家进行了好评 不知不觉中修改了旺旺昵称 不知不觉中,url重定向漏洞,概念 url redirection url跳转漏洞 当使用者浏览某个网址时,将他导向到另一个第三方网站的技术 危害 带领用户跳转至第三方钓鱼页面 例子 http:/ https:/ SQL Injection 把SQL命令插入到Web表单递交、输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 例子 某个网站的登录验证的SQL查询代码为 strSQL = “SELECT * FROM users WHERE (name = “ + userName + “

4、) and (pw = “+ passWord +“);“ 恶意填入:userName = “1 OR 1=1”; passWord = “1 OR 1=1“; 将导致原本的SQL字符串被填为 strSQL = “SELECT * FROM users WHERE (name = 1 OR 1=1) and (pw = 1 OR 1=1);“ 实际上运行的SQL命令会变成:strSQL = “SELECT * FROM users;“,sql注入漏洞,危害 数据表中的数据外泄,例如个人机密数据,帐户数据,密码等。 数据库服务器被攻击,系统管理员帐户被窜改(例如ALTER LOGIN sa WI

5、TH PASSWORD=xxxxxx)。 上传木马程序,控制全系统,Agenda,常见攻击类型介绍 web页安全测试 客户端安全测试,web页测试,测试对象 Pc上的页面 移动端的页面 测试方法 黑盒测试 白盒测试,web页测试-黑盒测试,工具:heimdall Heimdall平台 http:/webscan.aliyun- 辅助工具 Fiddler heimdall client 云盘地址:http:/ 安装包 设置fiddler 主界面 - Tools - Fiddler Options - connections,web页测试-黑盒测试,Fiddler的使用,web页测试-黑盒测试,H

6、eimdall使用 单个url扫描 http:/webscan.aliyun- 批量扫描 需用工具:heimdall client,web页测试-黑盒测试,批量扫描-url录制,web页测试-白盒测试,工具:STC 地址:http:/k.alibaba- web页安全测试 客户端安全测试,客户端测试,Android客户端 黑盒扫描 白盒扫描 Ios客户端 白盒扫描,客户端测试- Android,工具 stc http:/k.alibaba- 功能 黑盒扫描 白盒扫描 例子 代码地址 :SDK/UFP_android_alimama.git Apk包 MainActivity.apk,客户端测试

7、- Android,1.黑盒测试 上传apk包 首页(http:/k.alibaba- 自助测试-新建app扫描任务,客户端测试- Android,客户端测试- Android,2. 白盒测试 首页(http:/k.alibaba- 自助测试-新建app扫描任务 提供代码库地址,上传apk包,客户端测试- Android,客户端测试- IOS,工具 stc http:/k.alibaba- 功能 白盒扫描 例子 代码地址 gitgitlab.alibaba-:xiaohua.zhao/munionp4p.git:MunionSDK-315,客户端测试- IOS,添加监控:首页(http:/k.alibaba- 安全监控 - 我要监控,客户端测试- IOS,设置监控,客户端测试- IOS,首页- 安全监控 - 我要监控,总结,常见攻击类型介绍 Xss、Csrf、url重定向、Sql 注入 web页安全测试 单url扫描 多个url扫描 客户端安全测试 Android客户端 Ios客户端,Thanks!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1