安全性测试：略过文件上传限制

本文主要讨论的是网络安全中的上传文件限制和安全性测试的相关知识点，包括上传文件大小和格式限制、权限验证、加密技术、各种攻击类型、测试工具以及安全模型。 在进行安全性测试时，上传文件的功能常常是重要的关注点。通常，上传文件需要设定大小限制，以防止恶意用户上传大文件导致服务器资源耗尽，或者利用大文件进行DoS攻击。同时，对上传文件的格式进行限制也是必要的，这能避免诸如木马病毒、恶意脚本等通过特定文件格式进行传播。然而，根据描述，这次测试不需要验证这些具体限制，而是简单介绍并跳过。 在权限验证方面，黑盒测试和SQL注入是常见的测试手段，用于检查用户是否能上传超出其权限范围的文件。目录遍历漏洞可能允许攻击者访问不应公开的文件系统路径，而非法文件与文字的上传与写入则可能破坏系统安全。加密技术在网络传输、本地cookie、源文件、认证与会话中都起到关键作用，确保数据的安全传输和存储。 攻击类型包括缓冲区溢出、SQL注入、异常处理信息泄露、端口扫描、服务器攻击、跨站脚本攻击、HTTP回车换行注入、代码注入、URL重定向以及Google攻击等。这些攻击方式各有特点，都需要在测试中进行防范。 理论篇中提到，安全性测试应关注用户管理、权限管理、加密系统和认证系统等核心模块。常用的测试工具有IBM AppScan作为首选，Acunetix Web Vulnerability Scanner作为备用，还有HttpAnalyzer Full和Tamper IE Setup等辅助工具。 提到的“木桶原理”意味着系统的安全性取决于最弱的环节，因此需要全面提升所有模块的安全性。而“他人模型”是一种网络安全层次模型，包括物理层、网络层、传输层、应用层和链路层，涵盖了访问控制、数据机密性、数据完整性、用户认证等多个安全目标。 最后，输入数据的有效控制是防止安全漏洞的重要措施，无论是手工执行还是使用工具，都应确保输入的数据经过严格的验证和过滤，防止恶意输入引发的安全问题。