测试网站可能会发现的问题整理
1.1 ?引用了低版本的jquery
问题描述:测试发现,网站引用的jquery版本太低,存在安全隐患,截图如下:
图 一.1 ?jquery版本过低
风险程度:中等
风险分析:低版本的jquery存在跨站脚本攻击等漏洞,建议使用最新版本的jquery。
.1.2 ?用户名密码明文传输
问题描述:经测试发现,在用户登陆过程中,用户名和密码等敏感数据采用明文方式传输,使用burpsuite工具拦截http请求包可查看到明文的用户名和密码,如下图所示:
1 ?明文传输
风险程度:轻度
风险分析:攻击者可使用中间人攻击,嗅探到用户账号和密码,造成用户信息泄露。?
2 ?安全建议
2.1 ?引用了低版本的jquery
建议使用最新版本的jquery,jquery最新版本下载地址为http://code.jquery.com/jquery-2.2.0.min.js。
2.2 ?用户名密码明文传输
1)?对敏感信息系统,建议使用ssl加密传输;
2)?对于用户密码、账号等关键字段,在应用层进行加密,尽量使用公认的高安全级别的加密算法,如sha-256、3des等。