安全性測試初步接觸

1、初步分類：權(quán)限權(quán)限（黑盒（黑盒+sql+sql注入注入+ +目錄遍歷目錄遍歷+ +非法文件與文字上傳與寫入）非法文件與文字上傳與寫入）加密加密（網(wǎng)絡(luò)傳輸、本地（網(wǎng)絡(luò)傳輸、本地cookiecookie、源文件、認(rèn)證與會話）、源文件、認(rèn)證與會話）攻擊攻擊（緩沖區(qū)溢出、（緩沖區(qū)溢出、sqlsql注入、異常處理信息、端口掃描、服務(wù)器攻注入、異常處理信息、端口掃描、服務(wù)器攻擊、跨站腳本攻擊、擊、跨站腳本攻擊、httphttp回車換行注入攻擊、代碼注入、回車換行注入攻擊、代碼注入、urlurl重定向、重定向、googlegoogle攻擊）攻擊）做的比較粗糙，大家在這塊有什么可以交流下， 消逝 黑盒主要測試

2、點(diǎn)用戶管理模塊，權(quán)限管理模塊，加密系統(tǒng)，認(rèn)證系統(tǒng)等 工具使用 Appscan（首要）、Acunetix Web Vulnerability Scanner（備用）、HttpAnalyzerFull、TamperIESetup木桶原理安全性最低的模塊將成為瓶頸，需整體提高他人模型（雖然比較舊了）安全管理與審計(jì)安全管理與審計(jì)物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會話層審計(jì)與監(jiān)控身份認(rèn)證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制點(diǎn)到點(diǎn)鏈路加密物理信道安全l訪問控制l數(shù)據(jù)機(jī)密性l數(shù)據(jù)完整性l用戶認(rèn)證l防抵賴l安全審計(jì)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全層次層次層次層次模型模型網(wǎng)絡(luò)安

3、全網(wǎng)絡(luò)安全技術(shù)技術(shù)實(shí)現(xiàn)安實(shí)現(xiàn)安全目標(biāo)全目標(biāo)用戶安全輸入的數(shù)據(jù)沒有進(jìn)行有效的控制和驗(yàn)證輸入的數(shù)據(jù)沒有進(jìn)行有效的控制和驗(yàn)證 用戶名和密碼 直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問 上傳文件沒有限制（此次不需要）上傳文件沒有限制（此次不需要）不安全的存儲 操作時間的失效性 數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）允許的字符集最小和最大的長度是否允許空輸入?yún)?shù)是否是必須的重復(fù)是否允許數(shù)值范圍特定的值（枚舉型）特定的模式（正則表達(dá)式）（注：建議盡量采用白名單） 檢測接口程序連接登錄時，是否需要輸入相應(yīng)的用戶是否設(shè)置密碼最小長度（密碼強(qiáng)度）用戶名和密碼中是否可以有空格或回車？是否允許密碼和用戶名一致防惡意注冊：可否用

4、自動填表工具自動注冊用戶？ （傲游等）遺忘密碼處理有無缺省的超級用戶?（admin等，關(guān)鍵字需屏蔽）有無超級密碼?是否有校驗(yàn)碼？密碼錯誤次數(shù)有無限制？大小寫敏感？口令不允許以明碼顯示在輸出設(shè)備上強(qiáng)制修改的時間間隔限制（初始默認(rèn)密碼）口令的唯一性限制（看需求是否需要）口令過期失效后，是否可以不登陸而直接瀏覽某個頁面哪些頁面或者文件需要登錄后才能訪問/下載cookie中或隱藏變量中是否含有用戶名、密碼、userid等關(guān)鍵信息避免研發(fā)只是簡單的在客戶端不顯示權(quán)限高的功能項(xiàng)舉例Bug：沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址（含跳轉(zhuǎn)頁面），能直接打開頁面；注銷后，點(diǎn)瀏覽器上的后退，可以

5、進(jìn)行操作。正常登錄后，直接輸入自己沒有權(quán)限查看的頁面的網(wǎng)址，可以打開頁面。通過Http抓包的方式獲取Http請求信息包經(jīng)改裝后重新發(fā)送 從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯誤的）上傳文件還要有大小的限制。 上傳木馬病毒等（往往與權(quán)限一起驗(yàn)證）上傳文件最好要有格式的限制；此次我們不需要驗(yàn)證此處，簡單介紹下，跳過在頁面輸入密碼，頁面應(yīng)顯示 “*”；數(shù)據(jù)庫中存的密碼應(yīng)經(jīng)過加密；地址欄中不可以看到剛才填寫的密碼；右鍵查看源文件不能看見剛才輸入的密碼；帳號列表：系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號，如果必須要一個用戶列表，推薦使用某種形式的假名（屏幕名）來

6、指向?qū)嶋H的帳號檢測系統(tǒng)是否支持操作失效時間的配置，同時達(dá)到所配置的時間內(nèi)沒有對界面進(jìn)行任何操作時，檢測系統(tǒng)是否會將用戶自動失效，需要重新登錄系統(tǒng)。支持操作失效時間的配置。支持當(dāng)用戶在所配置的時間內(nèi)沒有對界面進(jìn)行任何操作則該應(yīng)用自動失效。如，用戶登陸后在一定時間內(nèi)（例如15 分鐘）沒有點(diǎn)擊任何頁面，是否需要重新登陸才能正常使用。不能把數(shù)據(jù)驗(yàn)證寄希望于客戶端的驗(yàn)證 不安全的對象引用，防止XSS攻擊注入式漏洞（SQL注入） 傳輸中與存儲時的密碼沒有加密 ，不安全的通信 目錄遍歷 避免繞過客戶端限制（如長度、特殊字符或腳本等），所以在服務(wù)器端驗(yàn)證與限制客戶端是不安全，重要的運(yùn)算和算法不要在客戶端運(yùn)行。

7、Session與cookie例：保存網(wǎng)頁并對網(wǎng)頁進(jìn)行修改，使其繞過客戶端的驗(yàn)證。（如只能選擇的下拉框，對輸入數(shù)據(jù)有特殊要求的文本框）還可以查看cookie中記錄，偽造請求測試中，可使用TamperIESetup來繞過客戶端輸入框的限制 阻止帶有語法含義的輸入內(nèi)容，防止Cross Site Scripting (XSS) Flaws 跨站點(diǎn)腳本攻擊（XSS）防止Cross-site request forgery（CSRF）跨站請求偽造 xss解釋：不可信的內(nèi)容被引入到動態(tài)頁面中，沒有識別這種情況并采取保護(hù)措施。攻擊者可在網(wǎng)上提交可以完成攻擊的腳本，普通用戶點(diǎn)擊了網(wǎng)頁上這些攻擊者提交的腳本，那么

8、就會在用戶客戶機(jī)上執(zhí)行，完成從截獲帳戶、更改用戶設(shè)置、竊取和篡改 cookie 到虛假廣告在內(nèi)的種種攻擊行為 測試方法：在輸入框中輸入下列字符，可直接輸入腳本來看HTML標(biāo)簽： 轉(zhuǎn)義字符：&amp(&)；&lt()；&nbsp(空格) ；腳本語言：alert(document.cookie);特殊字符： / 最小和最大的長度是否允許空輸入 對Grid、Label、Tree view類的輸入框未作驗(yàn)證，輸入的內(nèi)容會按照html語法解析出來，要控制腳本注入的語法要素。比如：javascript離不開：“”、“(”、“）”、“;”. 在輸入或輸出時對其進(jìn)行字符過濾或轉(zhuǎn)

9、義處理對數(shù)據(jù)庫等進(jìn)行注入攻擊。例：一個驗(yàn)證用戶登陸的頁面， 如果使用的sql語句為： Select * from table A where username + username+ and pass word . 則在Sql語句后面 輸入 or 11 就可以不輸入任何password進(jìn)行攻擊SELECT count(*)FROM usersWHERE username=a or a=a AND password=a or a=a(資料太多，不顯示了此處，借助工具Appscan等吧)利用ssl來進(jìn)行加密，在位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信 進(jìn)入一個SSL站點(diǎn)后，可以

10、看到瀏覽器出現(xiàn)警告信息，然后地址欄的http變成https （特點(diǎn)確定）證書認(rèn)證檢查數(shù)據(jù)庫中的用戶密碼、管理者密碼等字段是否是以加密方式保存。存儲數(shù)據(jù)庫單獨(dú)隔離，有備份的數(shù)據(jù)庫，權(quán)限唯一舉例：http:/ . /local/apache/conf/ /usr/local/apache/conf/里的所有文件都出來了簡要的解決方案:、限制Web應(yīng)用在服務(wù)器上的運(yùn)行 ，格設(shè)定WEB服務(wù)器的目錄訪問權(quán)限、進(jìn)行嚴(yán)格的輸入驗(yàn)證，控制用戶輸入非法路徑，如在每個目錄訪問時有index.htm認(rèn)證和會話數(shù)據(jù)不能作為GET的一部分來發(fā)送 隱藏域與CGI參數(shù)不恰當(dāng)?shù)漠惓Ｌ幚?不安全的配置管理 緩沖區(qū)溢出 拒絕服務(wù)

11、 日志完整性、可審計(jì)性與可恢復(fù)性 認(rèn)證和會話數(shù)據(jù)不應(yīng)該作為GET的一部分來發(fā)送，應(yīng)該使用POST例：對Grid、Label、Tree view類的輸入框未作驗(yàn)證，輸入的內(nèi)容會按照html語法解析出來 可使用TamperIESetup或ScannerHttpAnalyzerFull來判斷Bug舉例：分析：隱藏域中泄露了重要的信息，有時還可以暴露程序原代碼。直接修改CGI參數(shù)，就能繞過客戶端的驗(yàn)證了。如：只要改變value的值就可能會把程序的原代碼顯示出來。如大小寫，編碼解碼，附加特殊字符或精心構(gòu)造的特殊請求等都可能導(dǎo)致CGI源代碼泄露可使用appscan或sss等來檢測，檢查特殊字符集分析：程序

12、在拋出異常的時候給出了比較詳細(xì)的內(nèi)部錯誤信息，暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站存在潛在漏洞，有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置通常為其他攻擊手段的輔助定位方式舉例：如www.c* ，搜索為空時，數(shù)據(jù)庫顯示出具體錯誤位置，可進(jìn)行sql注入攻擊或關(guān)鍵字猜測攻擊分析：Config中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲信息都需要加以保護(hù) 配置所有的安全機(jī)制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號，使用日志和警報。手段：用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧，通過發(fā)送特別編寫的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼例：數(shù)據(jù)庫的帳號是不是默認(rèn)為“sa”，密碼（還有端口

13、號）是不是直接寫在配置文件里而沒有進(jìn)行加密。WEB服務(wù)器沒有對用戶提交的超長請求沒有進(jìn)行合適的處理，這種請求可能包括超長URL，超長HTTP Header域，或者是其它超長的數(shù)據(jù)使用類似于“strcpy()，strcat()”不進(jìn)行有效位檢查的函數(shù)，惡意用戶編寫一小段程序來進(jìn)一步打開安全缺口，然后將該代碼放在緩沖區(qū)有效載荷末尾，這樣，當(dāng)發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧，通過發(fā)送特別編寫的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼。 如apach緩沖區(qū)溢出等錯誤，第三方軟件也需檢測手段：超長URL，特殊目錄，超長HTTP Head

14、er域，畸形HTTP Header域或者是DOS設(shè)備文件分析：攻擊者可以從一個主機(jī)產(chǎn)生足夠多的流量來耗盡狠多應(yīng)用程序，最終使程序陷入癱瘓。需要做負(fù)載均衡來對付。詳細(xì)如：死亡之ping、淚滴（Teardorop）、 UDP洪水（UDP Flood）、 SYN洪水（SYN Flood）、 Land攻擊、Smurf攻擊、Fraggle攻擊、 畸形消息攻擊服務(wù)器端日志：檢測系統(tǒng)運(yùn)行時是否會記錄完整的日志。如進(jìn)行詳單查詢，檢測系統(tǒng)是否會記錄相應(yīng)的操作員、操作時間、系統(tǒng)狀態(tài)、操作事項(xiàng)、IP地址等檢測對系統(tǒng)關(guān)鍵數(shù)據(jù)進(jìn)行增加、修改和刪除時，系統(tǒng)是否會記錄相應(yīng)的修改時間、操作人員和修改前的數(shù)據(jù)記錄。Watchf

15、ire Appscan全面自動測試工具Acunetix Web Vulnerability 全面自動測試工具ScannerHttpAnalyzerFull加載網(wǎng)頁時可判斷TamperIESetup提交表單時改造數(shù)據(jù)注：上述工具最好安裝在虛擬機(jī)中，不影響實(shí)際機(jī)環(huán)境注：上述工具最好安裝在虛擬機(jī)中，不影響實(shí)際機(jī)環(huán)境 Appscan、 Web Vulnerability 需安裝.net framework，可能與sniffer沖突ScannerHttpAnalyzerFul與TamperIESetup會影響實(shí)際機(jī)瀏覽器平時的功能測試選擇模板，default（含大部分的測試集合）填入用戶名與密碼（各頁面通用）選擇web scan，填寫用戶名與密碼嵌套在網(wǎng)頁中，對于每個加