我目前正致力于一个包含2个页面的网站(JSP)的安全性:登录和数据页面。一旦用户登录,他就能够从具有只读访问权限的特定表中选择数据。
在网上浏览安全风险后,我已经写下了我可能需要防范的一般清单
目前,我正在阅读有关如何防御这些攻击以及我应该在代码中包含的内容。但是,除非我自己测试这些攻击,否则我真的不知道我的代码是否真的有效(即便如此,仍然可能有其他攻击有效)。现在,我只想要一些安全性,因此我需要知道如何产生这些攻击,以便我可以在我的网站上试用它们。
注射很简单,因为在我的代码中我必须做什么类型'1'='1来揭示它是有缺陷的。然后我使用预处理语句,SQL注入不再起作用了。
我如何能够产生其余的这些攻击,看看我的安全性是否能够抵御基本攻击?
(另外,是否可以使用一些安全的网站或工具来测试我的漏洞?)
答案 0 :(得分:4)
我从您的列表中假设您正在查看Open Web Application Security Project Top Ten。好!
真的,我能给出的最好建议是阅读OWASP网站。一个好的第一步是浏览该页面上的各个链接(例如Broken Authentication and Session Management)并检查“我是否易受攻击?”#34;部分。以下是一些进一步的提示:
The XSS Cheat Sheet在这里非常有帮助。更多的例子,你可以摇一摇,准备粘贴到你的网站。
OWASP的wiki有CSRF Testing Guide个很棒的链接和建议。
嗯,你使用的是HTTPS吗?有关详情,请参阅this answer。
如果你想深入了解并做一些真正的测试,你可以做以下几件事: