安全性測(cè)試都有什么？簡(jiǎn)單的就包括跳過權(quán)限驗(yàn)證啊，修改提交信息啊，復(fù)雜的呢，就有sql盲注、跨站點(diǎn)腳本等等。這些咱們暫時(shí)不一一細(xì)表，只說說我們?yōu)槭裁匆M(jìn)行安全性測(cè)試。、

　　其實(shí)網(wǎng)上關(guān)于安全性測(cè)試的資料并不是非常多，即使有人關(guān)注已只是很淺顯的談到部門安全性因素。當(dāng)然，據(jù)我了解部分大公司都有自己的安全性測(cè)試團(tuán)隊(duì)，這部分工作并不由測(cè)試人員進(jìn)行。

　　胡扯了兩句，今天我們來聊聊為什么進(jìn)行安全性測(cè)試，或者說，安全性到底會(huì)引起哪些問題、后果。

　　第一，提到安全。我們一個(gè)產(chǎn)品一個(gè)網(wǎng)站最需要加強(qiáng)安全防范的就是數(shù)據(jù)庫(kù)。那么如果缺少了安全性測(cè)試，在高手的sql盲注下，你的數(shù)據(jù)庫(kù)就會(huì)逐步展現(xiàn)在黑客的面前，無論是數(shù)據(jù)庫(kù)類型、表結(jié)構(gòu)、字段名或是詳細(xì)的用戶信息，都有無數(shù)種手段可以讓人“一覽無余”。

　　第二，就是權(quán)限。網(wǎng)站一般都規(guī)定了什么樣的用戶可以做什么事。比如版主可以修改所有人的帖子，而你普通用戶只能編輯自己的帖子，同樣游客只能看大家的帖子。這就是簡(jiǎn)單的權(quán)限。如果少了安全性保證，那么就容易有人跳出權(quán)限做他不該做的事情。

　　簡(jiǎn)單舉個(gè)小例子，一個(gè)登錄模塊，讓你輸入用戶名密碼。我們會(huì)老老實(shí)實(shí)的輸入我們的用戶名密碼，比如“風(fēng)落幾番”-“password”。如果我們刻意的去繞過登錄認(rèn)證呢？

　　猜想一下這個(gè)sql，單說用戶名，開發(fā)人員很可能會(huì)這樣去數(shù)據(jù)庫(kù)里對(duì)比：

　　Select count(id) from sys_user where username=‘XXX’

　　當(dāng)然可能更復(fù)雜，咱們就用這個(gè)說。如果我們?cè)谳斎肟蚶镙斎胍欢翁厥獾淖址麜?huì)如何？

　　’or‘1=1

　　這是段神奇的字符，因?yàn)檫@樣這個(gè)sql就變成：

　　Select count(id) from sys_user where username=‘’or‘1=1’

　　好吧，我們就跳過了用戶名的驗(yàn)證。。。

　　說的好基礎(chǔ)和無聊的感覺，其實(shí)這就是安全性的一部分。

   接著說第三，就是修改提交數(shù)據(jù)信息。曾經(jīng)我們公司做過一個(gè)關(guān)于在線支付的商城，在安全性測(cè)試過程中，我發(fā)現(xiàn)通過抓包抓到的提交價(jià)格，經(jīng)過修改再發(fā)包可以通過。簡(jiǎn)單來說就是本來100塊錢買的東西，我抓包修改為1塊就能成功購(gòu)買。這就成為了一個(gè)巨大的隱患。

　　再說第四，類似跨站腳本的安全隱患。這方面網(wǎng)上資料很多，具體過程呢就像這樣：

　　1.HTML注入。所有HTML注入范例只是注入一個(gè)JavaScript彈出式的警告框：alert(1)。

　　2.做壞事。如果您覺得警告框還不夠刺激，當(dāng)受害者點(diǎn)擊了一個(gè)被注入了HTML代碼的頁(yè)面鏈接時(shí)攻擊者能作的各種的惡意事情。

　　3.誘捕受害者，可能會(huì)redirect到另一個(gè)釣魚網(wǎng)站之類的，使其蒙受損失。

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽(yáng)市、陽(yáng)江市

全國(guó)各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌

主要業(yè)務(wù)為軟件產(chǎn)品測(cè)試、電子產(chǎn)品檢測(cè)、安防產(chǎn)品檢測(cè)、軟件第三方驗(yàn)收測(cè)試、科技項(xiàng)目驗(yàn)收測(cè)試、信息系統(tǒng)第三方檢測(cè)、集成電路檢測(cè)、芯片檢測(cè)、IC檢測(cè)、雷電防護(hù)裝置檢測(cè)（建筑防雷裝置檢測(cè)、防雷定期檢測(cè)、防雷首次檢測(cè)）、通信網(wǎng)防御雷電安全保護(hù)檢測(cè)、移動(dòng)通信基站防雷檢測(cè)、地理信息系統(tǒng)軟件測(cè)試、數(shù)字社區(qū)應(yīng)用軟件測(cè)評(píng)、 建設(shè)領(lǐng)域軟硬件測(cè)評(píng)、軟件安全性測(cè)試、軟件驗(yàn)收項(xiàng)目（安全、性能、驗(yàn)收測(cè)試、滲透測(cè)試、漏洞掃描、***檢查、代碼審計(jì)）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績(jī)檢測(cè)（安防工程檢測(cè)）、信息化項(xiàng)目技術(shù)績(jī)效評(píng)估(網(wǎng)站或系統(tǒng)績(jī)效評(píng)估）、政務(wù)信息化項(xiàng)目效能評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)備案證明、信息系統(tǒng)安全等保報(bào)告、網(wǎng)絡(luò)安全等保測(cè)評(píng)、信息系統(tǒng)安全等保測(cè)評(píng)、數(shù)字新基建項(xiàng)目第三方測(cè)試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營(yíng)許可（即原來的：民用無人駕駛航空器經(jīng)營(yíng)許可、道路運(yùn)輸經(jīng)營(yíng)許可、AOPA無人機(jī)多旋翼駕駛員培訓(xùn)、無人機(jī)研發(fā)生產(chǎn)銷售、無人機(jī)合作辦學(xué)、無人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS、信息系統(tǒng)服務(wù)交付能力評(píng)估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級(jí)證書、信息化能力評(píng)價(jià)、EDI/ICP安全防護(hù)檢測(cè)、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)（安裝）證、廣東省防雷工程企業(yè)能力評(píng)價(jià)、軟件過程及能力成熟度評(píng)估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評(píng)估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評(píng)價(jià)、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎(jiǎng)申請(qǐng)、專利合作申請(qǐng)（即掛名）、國(guó)家高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動(dòng)漫企業(yè)認(rèn)定、技術(shù)合同登記、知識(shí)產(chǎn)權(quán)服務(wù)、發(fā)明專利加急、集成電路布圖專有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測(cè)報(bào)告（軟件項(xiàng)目驗(yàn)收鑒定報(bào)告）、工商注冊(cè)、代理記賬、創(chuàng)業(yè)補(bǔ)助申請(qǐng)等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518

如有計(jì)劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518