隨著5G時代的來臨，很多企業(yè)的業(yè)務發(fā)展都越來越離不開互聯(lián)網(wǎng)了。比如，新年的集五?；顒樱磕觌娚叹揞^的618、雙十一、雙十二大促活動，亦或者休閑游戲，食品零售等等，無一不在互聯(lián)網(wǎng)的生態(tài)圈之中。

也正是越來越多人成為了互聯(lián)網(wǎng)的一員，很多黑客為了給自己謀利，變通過攻擊網(wǎng)頁服務器等方式，截獲他人信息。攻擊的方式也非常多，常見的有SQL注入、跨站腳本攻擊、跨站請求偽造、緩存區(qū)溢出等。

由此，一方面，我們需要加強網(wǎng)絡安全建設，在網(wǎng)頁搭建時，就對安全性方面做重點監(jiān)控；另一方面，我們要充分認識網(wǎng)絡bug有哪些，了解黑客可能的攻擊點，提升自己的業(yè)務水平，方能協(xié)助開發(fā)人員，共同維護網(wǎng)絡安全。

那么，日常生活中，常見的網(wǎng)絡問題有哪些呢？今天我們就一起來探討下。?

01

SQL注入類問題
在Web安全測試中，SQL注入是最為常見的一種手段。主要是指攻擊者通過巧妙的構建非法SQL查詢命令，插入表單或請求字符串后提交，并根據(jù)返回的結(jié)果，來獲得想要的數(shù)據(jù)。這就是SQL注入。
SQL注入的方法一般有猜測法和屏蔽法。猜測法主要是通過猜測數(shù)據(jù)庫可能存在的表名和列名，根據(jù)組合的SQL語句獲取數(shù)據(jù)表的信息。屏蔽法主要是利用SQL輸入的不嚴謹進行邏輯驗證，從而使得SQL驗證結(jié)果始終為真，從而繞開驗證的目的。

02

跨站腳本攻擊問題

跨站腳本攻擊（簡稱XSS），是一種迫使Web站點回顯可執(zhí)行代碼的攻擊技術。

當Web站點回顯后，攻擊者會重新提供可執(zhí)行代碼。一般情況下，他們會往Web頁面里插入惡意Script代碼，當用戶瀏覽該頁面時，嵌入其中的Script代碼會被執(zhí)行，從而攻擊終端用戶。

XSS最為常見的攻擊方法為反射型XSS和存儲型XSS。其中，反射型XSS，又稱非持久型跨站點腳本攻擊，也是最常見的XSS攻擊方式。

而存儲型XSS則不同。它是一種持久型跨站點腳本攻擊，也是最直接危害用戶的XSS。當攻擊者在服務器中存儲了攻擊代碼后，用戶只要打開對應頁面，就會觸發(fā)XSS代碼自動執(zhí)行。

03

跨站請求偽造問題

跨站請求偽造（簡稱CSRF），是一種對網(wǎng)站的惡意利用。它通過偽裝普通用戶的請求，來利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往因為不太流行而導致難以防范。所以，我們認為CSRF往往比XSS更具危險性。

04

緩存區(qū)溢出問題

緩沖區(qū)溢出是一種非常普遍存在的漏洞，廣泛存在于各種操作系統(tǒng)、應用軟件中。

利用緩沖區(qū)溢出攻擊，可以導致程序出現(xiàn)運行失敗、系統(tǒng)關機、重新啟動等行為，或執(zhí)行攻擊者的指令，比如非法提升權限等。

在緩沖區(qū)溢出中，最為危險的就是堆棧溢出，它可以利用堆棧溢出，在函數(shù)返回時，將程序的地址修改為攻擊者想要的任意地址，達到攻擊者的目的。其最典型的例子，就是1988年利用fingerd漏洞進行攻擊的蠕蟲。


那么，解決這些頁面攻擊問題，有哪些可行的辦法呢？

01

SQL注入類問題

對于猜測法和屏蔽法來說，它們是SQL注入最基礎的、最簡單的方法。在測試過程中，我們需要注意命名規(guī)則，以及對關鍵詞的屏蔽等。另外，我們也需要在工作中，不斷總結(jié)經(jīng)驗，更加深入的學習猜想法和屏蔽法等。

02

跨站腳本攻擊問題

關于反射型XSS，一般只有我們自己點進鏈接，才能觸發(fā)攻擊者注入的XSS代碼。這種方式的解決辦法就是：慎點。

而存儲型XSS則不同。這種XSS比較危險，容易產(chǎn)生蠕蟲，盜竊用戶Cookie等危害。在做這類問題測試時，一定要對程序的代碼有一定的認知，尤其是要檢查程序中的敏感符號，例如：“/、“.”、“’”、“‘”、“＜”、“＞”、“？”等。檢查這些特殊字符是否存在違規(guī)使用，或檢查是否存在數(shù)據(jù)庫字段、數(shù)據(jù)庫類型以及長度的限制等，未進行處理的情況發(fā)生。?

03

跨站請求偽造問題

簡單判斷是否存在CSRF漏洞的方法，就是通過抓取正常請求的數(shù)據(jù)包，然后通過去掉Referer字段，再重新提交。如果二次提交還有效，說明存在CSRF漏洞。

為了防止CSRF，常用的方法就是在AJAX異步請求地址中，添加Token并進行驗證，從而降低CSRF出現(xiàn)的可能。?

04

緩存區(qū)溢出問題

事實上，造成緩沖區(qū)溢出的原因有很多。主要原因有對輸入、輸出的數(shù)據(jù)沒有限制大小、長度以及格式等，還有就是對用戶的特殊操作沒有做異常處理導致。

所以，在測試過程中，我們需要注意輸入輸出的大小長度以及格式規(guī)范限制，還有需要多模擬一些異常，關注異常的處理情況。

以上就是關于網(wǎng)頁bug方面的分析，加VX：xiaoxianchen89，免費加入軟件測試學習交流群，領取更多軟件測試學習資料