測試網站可能會發現的問題整理
1.1 ?引用了低版本的jQuery
問題描述:測試發現,網站引用的jQuery版本太低,存在安全隱患,截圖如下:
?
圖 一.1 ?jQuery版本過低
風險程度:中等
風險分析:低版本的jQuery存在跨站腳本攻擊等漏洞,建議使用最新版本的jQuery。
.1.2 ?用戶名密碼明文傳輸
問題描述:經測試發現,在用戶登陸過程中,用戶名和密碼等敏感數據采用明文方式傳輸,使用burpsuite工具攔截HTTP請求包可查看到明文的用戶名和密碼,如下圖所示:
1 ?明文傳輸
風險程度:輕度
風險分析:攻擊者可使用中間人攻擊,嗅探到用戶賬號和密碼,造成用戶信息泄露。?
2 ?安全建議
2.1 ?引用了低版本的jQuery
建議使用最新版本的jQuery,jQuery最新版本下載地址為http://code.jquery.com/jquery-2.2.0.min.js。
2.2 ?用戶名密碼明文傳輸
1)?對敏感信息系統,建議使用SSL加密傳輸;
2)?對于用戶密碼、賬號等關鍵字段,在應用層進行加密,盡量使用公認的高安全級別的加密算法,如SHA-256、3DES等。
