《安全性測試》筆記

1、安全性測試安全性測試的概念安全性測試是有關(guān)驗證應(yīng)用程序的安全服務(wù)和識別潛在安全性缺陷的過程濃 濃 濃 濃 濃濃安全性測試大致包含哪些方面應(yīng)用程序服務(wù)器的安全性（如：IIS、tomact）數(shù)據(jù)庫的安全性（如：數(shù)據(jù)庫中密碼的存儲是否以明文保存）帳號和密碼安全性系統(tǒng)程序的安全性（如：打補丁，部分不對外的端口號是否關(guān)閉）防火墻設(shè)置網(wǎng)絡(luò)環(huán)境安全性安全性測試過程中應(yīng)做哪些工作全面檢驗軟件在產(chǎn)品需求規(guī)格說明書中規(guī)定的防止危險狀態(tài)措施的有效性，并檢測每一個 危險狀態(tài)下程序的反應(yīng)濃對軟件設(shè)計中用于提高軟件安全性的結(jié)構(gòu)、算法、容錯、冗余、中斷等方案的處理，進 行針對性測試濃在異常情況下測試軟件，已表明軟件在單個或

2、多個錯誤的輸入情況下而導(dǎo)致不安全的狀 態(tài)例如：測試通話過程中給正在通話的手機發(fā)送短信、撥打電話濃用錯誤的安全性關(guān)鍵進行操作，以驗證它在錯誤的操作下不會導(dǎo)致不安全狀態(tài)濃對于安全性關(guān)鍵的軟件單元和軟件部件，要單獨的進行測試，以滿足其安全性方面的需 求例如：在對淘寶進行測試時，用戶轉(zhuǎn)賬過程中，對用戶數(shù)據(jù)的讀取，比如余額，轉(zhuǎn)賬金 額等加強此類單元及部件的測試以保證整個系統(tǒng)的安全性安全性測試方法濃功能驗證是指采用軟件測試中的黑盒測試方法對涉及軟件安全方面的功能進行測試。如用戶管理 模塊、權(quán)限管理、加密系統(tǒng)、認證系統(tǒng)等例如：QQ密碼的破解，因此在設(shè)計過程中要考慮密碼的復(fù)雜性以加強安全防范漏洞掃描安全性漏洞

3、主要借助于特定的漏洞掃描工具來完成，通過這些漏洞掃描器工具，系統(tǒng)管 理員能夠發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，從而在系統(tǒng)安全中及時采取漏洞修補措施，常見 的漏洞掃描分為兩種類型，一種是基于主機的漏洞掃描器，是指在本地運行的漏洞掃描 器程序，另一種是基于網(wǎng)絡(luò)的漏洞掃描器，這是一種基于網(wǎng)絡(luò)遠程檢測目標(biāo)網(wǎng)絡(luò)和主機 漏洞的系統(tǒng)程序例如：360安全衛(wèi)士，就屬于一種主機型的漏洞掃描器，而SQL的注入則屬于網(wǎng)絡(luò)漏洞 掃描器濃模擬攻擊對于安全性測試來說，模擬攻擊是一種特殊而又極端的測試方法，我們常以模擬攻擊來 驗證軟件系統(tǒng)程序的安全防護能力例如：其中比較常見的有網(wǎng)站式腳本攻擊（XSS），跨站點請求偽造（CSRF）、D

4、dos攻擊 等注：CSRF （Cross-site request forgery 跨站請求偽造，也被稱為 “one click attack” 或者session riding,通?？s寫為CSRF或者XSRF，是一種對網(wǎng)站的惡意利用。盡管聽 起來像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點 內(nèi)的信任用戶，而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。與XSS 攻擊相比，CSRF攻擊往往不大流行（因此對其進行防范的資源也相當(dāng)稀少）和難以防范， 所以被認為比XSS更具危險性。WEB安全性可以從以下幾個方面來測試濃部署與基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)是否提供了安全的

5、通訊部署拓撲結(jié)構(gòu)是否包括內(nèi)部的防火墻部署拓撲結(jié)構(gòu)中是否包括遠程應(yīng)用程序服務(wù)器包括遠程應(yīng)用程序服務(wù)器明確基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么確認目標(biāo)環(huán)境支持怎樣的信任級別濃輸入驗證是否清楚入口點是否清楚信任邊界是否驗證web頁的輸入是否對傳遞到組件或web服務(wù)的參數(shù)進行驗證是否驗證從數(shù)據(jù)庫中檢索出來的數(shù)據(jù)是否將方法集中起來是否依賴客戶端的驗證應(yīng)用程序是否容易受SQL的注入攻擊應(yīng)用程序是否易受XSS攻擊注：一般情況下，只有用戶對數(shù)據(jù)庫的類型、表名和邏輯判斷、查詢語句等比較清楚才 能成功進行SQL語句注入。XSS （Cross Site Script-跨站點腳本）的原理：即進行腳本注入，URL執(zhí)行時即把此

6、 腳本進行了執(zhí)行，一般都是 JavaScript 腳本，如alter（ abc”）, 在URL中進行XSS注入，也就是把URL中參數(shù)改成JS腳本例如：SELECT * FROM motkuser.user where 1=1數(shù)據(jù)庫中的一條腳本，就可以都出 這個庫下所有的數(shù)據(jù)。http:/Site/url.asp?id=1;and（Slect Top 1 name from sysobjects where xtype= U and status0）0濃用戶權(quán)限對一些有權(quán)限控制的功能進行驗證（普通管理員、超級管理員等）對用戶A才能進行的操作，B能否進行操作（可通過竄Session的方式測試，同一

7、瀏 覽器，等兩個帳號交叉操作）注：Session是客戶端與服務(wù)器端建立的會話，總是放在服務(wù)器上的，服務(wù)器會為每次 回話建立一個SessionID，每個客戶會跟一個SessionID對應(yīng)，并不是關(guān)閉了瀏覽器就 結(jié)束了本次會話，通常是用戶執(zhí)行了“退出”操作或者會話超時才會結(jié)束測試關(guān)注點：Session是否互竄，即是用戶A的操作被用戶B執(zhí)行了只有A條件的用戶才能查看的頁面，是否B能夠查看（如：直接通過敲地址的方式， 或者復(fù)制URL地址）濃授權(quán)必須有登陸的頁面是否能跨過登錄直接訪問（如直接復(fù)制URL地址）必須經(jīng)過AB-C的頁面能否跨過B直接由AC （如：直接）URL安全性測試1.對URL中參數(shù)信息的檢查是否正確，如URL中的訂單號，地址，金額等正確性的驗證2.對于一些重要的信息是否在URL中顯示出來，導(dǎo)致信息泄漏（如：賬戶名、密碼） 注：URL中包含參數(shù)，通過get方式傳遞http請求，get方式在客戶端通過URL提交的 的數(shù)據(jù)可在URL中看到Post方式，數(shù)據(jù)傳輸