|
知识路径: > 测试技术的分类 > Web应用测试 > Web应用运行测试 > 安全性测试 > 安全体系测试 >
|
相关知识点:11个
|
|
|
|
由于Web应用程序基于无状态的HTTP协议生成,因此会话管理是应用程序级任务。检查应用程序的会话管理方法,因为它将直接影响应用程序的整体安整。下表显示了与会话管理相关的常见漏洞。
|
|
|
|
|
测试中需要考虑下列问题,帮助验证应用程序处理敏感数据的方法。
|
|
|
|
检查应用程序管理用户会话的会话标识符,以及这些会话标识符的交换方式。考虑下列问题。
|
|
|
|
如果使用会话标识符(如cookie中包含的令牌)跟踪会话状态,检查是否仅通过加密的通道(如SSL)传递标识符或cookie。
|
|
|
|
如果使用表单身份验证,确保应用程序使用“”元素中的protection="All"属性加密身份验证。建议同时使用SSL和这种方法,以便降低XSS攻击的风险,XSS攻击可设法窃取用户的身份验证cookie。
|
|
|
|
确保应用程序不在查询字符串中传递会话标识符。这些字符串可在客户端轻易修改,使用户能作为另一用户访问应用程序,访问其他用户的私有数据,并可能提升特权。
|
|
|
|
检查应用程序认为会话标识符有效的时间。应用程序应限制这段时间的长度,以降低会话劫持和重播攻击的威胁。
|
|
|
|
检查应用程序存储会话状态的方法。会话状态可存储在Web应用程序进程、ASP.NET会话状态服务,或SQL Server状态存储中。如果使用远程状态存储,请确保Web服务器到该远程存储的链接使用IPSec或SSL加密,以保护在网络中传输的数据。
|
|
|