我目前正致力于一个包含2个页面的网站(JSP)的安全性:登录和数据页面.一旦用户登录,他就能够从具有只读访问权限的特定表中选择数据.
在线浏览安全风险后,我写下了一份我可能需要防范的一般清单
目前,我正在阅读如何防御这些攻击以及我应该在我的代码中包含的内容.但是,除非我自己测试这些攻击,否则我真的不知道我的代码是否真的有效(即便如此,仍然可能有其他攻击有效).现在,我只想要一些安全性,因此我需要知道如何产生这些攻击,以便我可以在我的网站上尝试它们.
注射很简单,因为在我的代码中我必须做什么类型'1'='1来揭示它是有缺陷的.然后我使用预处理语句,SQL注入不再起作用.
我怎样才能产生其余的这些攻击,看看我的安全性是否能够抵御基本攻击?
(另外,是否有一些安全的网站或工具可以用来测试我的漏洞?)
我从您的列表中假设您正在查看开放 Web 应用程序安全项目前十名。好的!
确实,我能给出的最好建议就是通读 OWASP 网站。好的第一步是浏览该页面上的各个链接(例如损坏的身份验证和会话管理)并检查“我容易受到攻击吗?” 部分。以下是一些进一步的提示:
XSS Cheat Sheet在这里非常有用。示例数量多到你无法摇动,可以随时粘贴到你的网站中。
OWASP 的 wiki 有一个CSRF 测试指南,其中充满了很棒的链接和建议。
那么,您使用的是 HTTPS 吗?请参阅此答案了解更多信息。
如果您想更深入地进行一些实际测试,您可以执行以下操作: