WEB安全测试之谈

在对web应用所执行的测试中，安全测试是非常重要的一环。对开发工程师来说，掌握web安全测试的相关知识是非常必要的，主要从安全概况、XSS跨站、SQL注入三个方面，与大家进行了分享与交流。

一.安全概况

随着互联网时代的崛起，互联网业务更新愈加频繁，web技术也越来越多样化。由于一些开发工程师对技术的掌握不够深入，对系统的安全漏洞不够重视，从而导致重要的安全漏洞产生，例如：SQL注入、跨站、越权、绕过客户端、文件上传等安全漏洞，黑客逐渐把攻击对象转向外部网站，进行实时攻击，利用漏洞搞恶意破坏，谋取利益，随之，我们的web系统安全攻防技术变得重要，系统安全漏洞的挖掘也成为这个过程中重要的一部分。

那么web安全测试包括哪些呢？王老师向我们介绍了以下几部分：

在这里，王海林老师主要对SQL注入和XSS跨站两大部分进行深入探讨。

二.XSS跨站

XSS是一种经常出现在web应用中的安全漏洞，攻击者/黑客通过对web页面注入恶意代码，达到攻击目的，近几年，XSS已经成为web中最主流的攻击方式。

1.XSS危害：

2.XSS原理：

3.XSS分类：

4.XSS检测：

在手动代码检测过程中，对编码进行转换的工具：

5.XSS防御：

BEEF&Httponly

核心cookie为什么要设置Httponly属性？

如今越来越多的攻击者利用跨站等方式，盗取用户的cookie，得到密钥。密钥被拿到后，我们就不需要账号和密码登录浏览器，为了防止攻击者的窃取，我们通常在核心cookie设置Httponly属性。

二.SQL注入

几乎所有外部应用程序的数据存储，都是通过数据库来完成的，因此系统与数据库在交互过程中，会使用一些SQL语句进行数据的读写操作，实际过程中，由于开发工程师的经验不足，导致安全漏洞的产生。

1.SQL注入原理分析：

2.SQL注入产生条件：

3.SQL注入检测方法：

基于代码检测，王老师向我们介绍了以下两种代码检测方法：

4.SQL注入防御：

5.SQL注入渗透实战：