WEB安全性测试之 -认证与授权、Session与Cookie、DDOS拒绝服务攻击
2016-12-19 21:47
489 查看
WEB安全性测试之
---认证与授权、Session与Cookie、DDOS拒绝服务攻击
来自视频的笔记整理
1、认证与授权
1)认证:是否可以直接登录
2)授权:是否有权限删除等
3)避免未经授权的页面可以直接访问
2、Session与Cookie
1)SessionID-Cookie欺骗
2)避免保存敏感信息到Cookie中:姓名、密码等
3)cookie的作用域:不同的应用系统不同的作用域
以phpwin和aglione为例,都存在htdoc文件下,分析进行登录的操作
在IE浏览器中寻找到密码存储的地方
工具——
因为path的作用域时/即localhost/ 因为phpwin和aglione的作用域相同,所以当查看cookiedenny时,里面的内容将会是phpwin和aglione登陆的内容。
这种情况针对租用的服务器,因为虽然是不同的域名,但是对应的是相同的根目录,最好的方法是根目录下就有一个网站,这样就可以避免cookie交叉的问题
3、DDOS分布式的拒绝服务攻击
向服务器发请求,损人不利已
1)肉鸡,埋木马——-服务器足够强大
2)攻击联盟
3)利用TCP建立连接的规则:客户端模拟一个不存在的IP地址,发送给服务端;服务端处理完后就返回,但是这时已经找不到对应的IP,连接就会等待,直到超时。
a、C-> S
b、S-->C
c、C->S
---认证与授权、Session与Cookie、DDOS拒绝服务攻击
来自视频的笔记整理
1、认证与授权
1)认证:是否可以直接登录
2)授权:是否有权限删除等
3)避免未经授权的页面可以直接访问
2、Session与Cookie
1)SessionID-Cookie欺骗
2)避免保存敏感信息到Cookie中:姓名、密码等
3)cookie的作用域:不同的应用系统不同的作用域
以phpwin和aglione为例,都存在htdoc文件下,分析进行登录的操作
在IE浏览器中寻找到密码存储的地方
工具——
因为path的作用域时/即localhost/ 因为phpwin和aglione的作用域相同,所以当查看cookiedenny时,里面的内容将会是phpwin和aglione登陆的内容。
这种情况针对租用的服务器,因为虽然是不同的域名,但是对应的是相同的根目录,最好的方法是根目录下就有一个网站,这样就可以避免cookie交叉的问题
3、DDOS分布式的拒绝服务攻击
向服务器发请求,损人不利已
1)肉鸡,埋木马——-服务器足够强大
2)攻击联盟
3)利用TCP建立连接的规则:客户端模拟一个不存在的IP地址,发送给服务端;服务端处理完后就返回,但是这时已经找不到对应的IP,连接就会等待,直到超时。
a、C-> S
b、S-->C
c、C->S
相关文章推荐
- 越权、cookie与session、认证和授权
- IT咨询顾问:一次吐血的项目救火 java或判断优化小技巧 asp.net core Session的测试使用心得 【.NET架构】BIM软件架构02:Web管控平台后台架构 NetCore入门篇:(十一)NetCore项目读取配置文件appsettings.json 使用LINQ生成Where的SQL语句 js_jquery_创建cookie有效期问题_时区问题
- 安全性测试之认证授权
- CORS跨域、Cookie传递SessionID实现单点登录后的权限认证的移动端兼容性测试报告
- [原创]下一代Web 应用程序安全性测试工具HP WebInspect简介
- Web安全性测试
- 利用session,cookie进行安全性控制
- 使用HttpWebRequest提交ASP.NET表单并保持Session和Cookie
- cookie与session性能分析与安全性分析及几个小问题
- C# 使用HttpWebRequest提交ASP.NET表单并保持Session和Cookie
- WEB的安全性测试要素
- 几款常用Web软件安全性测试
- Web编程-->Cookie和Session的区别
- 使用HttpWebRequest提交ASP.NET表单并保持Session和Cookie
- 利用Cookie和Session保持WEB客户端始终在线
- 转 跨域读取Cookie和session之HttpWebRequest另类方法(网站API开发)
- 如何使用单元测试 测试WEB组件方法中的含有Session、Cookie等HttpContext功能调用的方法?[转载]
- 利用session,cookie进行安全性控制
- 使用HttpWebRequest提交ASP.NET表单并保持Session和Cookie
- [保存]C# 使用HttpWebRequest提交ASP.NET表单并保持Session和Cookie