
最近收到很多小伙伴反馈,询问等保测评中渗透测试到底会测试什么?因此,今天小云就为大家统一介绍下:
1.注入式攻击
用户在执行命令或查询时,向WEB应用程序提交数据,这时就会发生基于网络的威胁,比如SQL注入、OS命令注入和LDAP注入。攻击者的恶意有效负荷会欺骗WEB应用程序执行计划外命令或者未经正确授权的情况下访问数据。
2.跨站点脚本攻击(XSS)
若WEB应用在未经适当验证和转义的情况下接受用户通过页面提交的数据,就有可能会引发XSS攻击。攻击者可以利用跨站点脚本在用户浏览器上执行脚本,从而劫持用户会话,破坏网站,或者将用于重新指向恶意站点。
3.失效的身份验证
应用的身份验证和会话管理功能经常配置不当,攻击者可以借此损坏密码、秘钥或会话令牌,或者利用其它漏洞暂时性或永久性假冒其他用户身份。
4.使用含有已知漏洞的组件
运行组件(数据库、框架和其他软件模块)跟应用具有相同的权限要求。若攻击者利用了存在漏洞的组件,这类攻击会导致数据损失或远程接管服务器等重大事故。使用含有已知漏洞的组件的应用和API可能会破坏应用防御机制,启动攻击,并产生特定影响。
专业
等保测评专业服务商
保障
云上、云下系统,云、物联网扩展项进行全面测评
用心
专属咨询服务顾问
便捷
提供一站式合规解决方案服务
客服电话15979290517
Copyright © 浙江卓见云科技 All Rights Reserved 备案号:浙ICP备16013515号-11
打开微信公众号
扫一扫
客服电话15979290517