资源预览内容
第1页 / 共15页
第2页 / 共15页
第3页 / 共15页
第4页 / 共15页
第5页 / 共15页
第6页 / 共15页
第7页 / 共15页
第8页 / 共15页
第9页 / 共15页
第10页 / 共15页
亲,该文档总共15页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
Web服务安全性测试研究目录页01 研究背景02 研究现状03 设计思路04 完成工作研究背景1、Web服务跨平台性、难以控制2、Web服务应用的广泛性,易成为攻击目标3、Web服务开放式技术,易于访问也易于受攻击研究现状1、IBM和微软联合推出了Web服务安全方面的白皮书2、Web服务的安全传输机制WS-Security规范3、微软还宣布了Windows技术TrustBridge设计思路1、开发一个Web服务2、开发一个Web应用,调用该Web服务3、在调用的过程中进行安全性测试完成工作完成一个Web服务的接口http:/localhost:8080/WebSecurity/services/SeviceSecurity?wsdlWSDL展示Web应用调用服务接口 /* * 注册方法 (调用Web Service) */public String register()Object result = null;Client client = null;try client = new Client(new URL(http:/localhost:8080/WebSecurity/services/ServiceSecurity?wsdl);client.setProperty(CommonsHttpMessageSender.HTTP_TIMEOUT, 1000000);result = client.invoke(register, new Objectuser.getUserName(),user.getPassword();Object status = result0;if(status.equals(OK)return register_OK; catch (MalformedURLException e) / TODO Auto-generated catch blocke.printStackTrace(); catch (Exception e) / TODO Auto-generated catch blocke.printStackTrace();return register_Fail;页面展示在页面输入数据,传输给Web应用,Web应用调用服务接口,传递数据,通过Web服务与数据库进行交互测试工作 1.sql注入的测试 2.密码的MD5加密 3.编写带有攻击性的js文章 4.超时注销 5.未登录的用户不可以访问相关页面SQL注入的测试登录时,随意输入一个用户名,密码用1 or 1=1来代替,测试是否也能登录,即测试是否存在SQL注入的问题密码加密的测试在登录和注册的时候,使用sniff工具进行抓包,获取用户名和密码,如果未加密的话,密码就会泄露带有攻击性的js文章向数据库保存带有攻击性的js文章,然后再前台展示该文章的时候,可能触发这段js function aa() alert(xxxx.);setTimeout(aa(),1000); aa(); 超时注销和拦截1、登录后长时间未进行操作,对该用户实施自动注销2、未登录的用户不可查看相关页面,如果在页面输入页面地址,则自动跳转到登录页面谢谢!
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号