ｅe(cuò)b安全安全測(cè)試規(guī)范

1、PAGE91DKBA華為技術(shù)有限公司內(nèi)部技術(shù)規(guī)范DKBA Web應(yīng)用安全測(cè)試規(guī)范2009年7月5日發(fā)布 2009年7月5日實(shí)施華為技術(shù)有限公司Huawei Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved修訂聲明Revision declaration本規(guī)范擬制與解釋部門：安全解決方案部電信網(wǎng)絡(luò)與業(yè)務(wù)安全實(shí)驗(yàn)室、軟件公司安全TMG、軟件公司測(cè)試業(yè)務(wù)管理部本規(guī)范的相關(guān)系列規(guī)范或文件：Web應(yīng)用安全開發(fā)規(guī)范相關(guān)國(guó)際規(guī)范或文件一致性：OWASP Testing Guide v3信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南Information technolo

2、gy Security techniques Management of information and communications technology securityISO 13335替代或作廢的其它規(guī)范或文件：無相關(guān)規(guī)范或文件的相互關(guān)系：本規(guī)范以Web應(yīng)用安全開發(fā)規(guī)范為基礎(chǔ)、結(jié)合Web應(yīng)用的特點(diǎn)而制定。版本號(hào)主要起草部門專家主要評(píng)審部門專家修訂情況安全解決方案：趙武、呂曉雨56987、王歡00104062業(yè)務(wù)與軟件測(cè)試部系統(tǒng)部：孟詠喜00137435安全解決方案：劉海軍、吳宇翔、吳海翔、楊光磊、宋柳松、梁業(yè)金、姜凡業(yè)務(wù)與軟件：何偉祥、劉高峰、龔連陽(yáng)、許汝波、王娟娟、龔小華、王向輝、李

3、磊、楊曉峰網(wǎng)絡(luò)解決方案驗(yàn)證部：張喆核心網(wǎng)：車廣芳、蘇三、劉京、凍良何偉祥33428劉高峰、吳宇翔、楊光磊、王歡、胡坤紅、張偉、孟詠喜、成慶華、黎迎斌、周鵬、張喆、文桂林、張理、姜永章、蘇燕魯增加Web Service、上傳、下載、控制臺(tái)等方面的測(cè)試規(guī)范，更正一些描述不準(zhǔn)確的測(cè)試項(xiàng)何偉祥00162822劉高峰、胡坤紅、張偉增加“會(huì)話固定”、“審計(jì)日志”、“DWR”的安全測(cè)試規(guī)范，完善驗(yàn)證碼安全測(cè)試的方法。劉振南 00264924胡坤紅、張偉、宋飛、夏成林、王歡、沈海濤、錢育波、石功新增以下內(nèi)容： SEC_Web_ DIR_05_02 版本控制軟件SVN備份文件測(cè)試 會(huì)話標(biāo)識(shí)隨機(jī)性測(cè)試 跨站偽造請(qǐng)

4、求測(cè)試 LDAP注入測(cè)試 回車換行符（CRLF）注入測(cè)試 XML注入測(cè)試 SEC_Web_SERVICE_02 Web Service測(cè)試 HTML5安全測(cè)試 FLASH安全配置測(cè)試 WEB部署與管理測(cè)試 Struts2框架測(cè)試 HTML5新增標(biāo)簽?zāi)?錄 Table of Contents TOC o 1-3 h z u HYPERLINK l _Toc7 1概述 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 背景簡(jiǎn)介 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 適用讀者 PAGEREF _Toc9 h 9 HYPERLINK l _Toc

5、0 適用范圍 PAGEREF _Toc0 h 9 HYPERLINK l _Toc1 安全測(cè)試在IPD流程中所處的位置 PAGEREF _Toc1 h 10 HYPERLINK l _Toc2 安全測(cè)試與安全風(fēng)險(xiǎn)評(píng)估的關(guān)系說明 PAGEREF _Toc2 h 10 HYPERLINK l _Toc3 注意事項(xiàng) PAGEREF _Toc3 h 11 HYPERLINK l _Toc4 測(cè)試用例級(jí)別說明 PAGEREF _Toc4 h 11 HYPERLINK l _Toc5 2測(cè)試過程示意圖 PAGEREF _Toc5 h 12 HYPERLINK l _Toc6 3Web安全測(cè)試規(guī)范 PAGE

6、REF _Toc6 h 13 HYPERLINK l _Toc7 自動(dòng)化Web漏洞掃描工具測(cè)試 PAGEREF _Toc7 h 13 HYPERLINK l _Toc8 AppScan application掃描測(cè)試 PAGEREF _Toc8 h 14 HYPERLINK l _Toc9 AppScan Web Service 掃描測(cè)試 PAGEREF _Toc9 h 15 HYPERLINK l _Toc0 服務(wù)器信息收集 PAGEREF _Toc0 h 15 HYPERLINK l _Toc1 運(yùn)行帳號(hào)權(quán)限測(cè)試 PAGEREF _Toc1 h 15 HYPERLINK l _Toc2 W

7、eb服務(wù)器端口掃描 PAGEREF _Toc2 h 16 HYPERLINK l _Toc3 HTTP方法測(cè)試 PAGEREF _Toc3 h 16 HYPERLINK l _Toc4 HTTP PUT方法測(cè)試 PAGEREF _Toc4 h 17 HYPERLINK l _Toc5 HTTP DELETE方法測(cè)試 PAGEREF _Toc5 h 18 HYPERLINK l _Toc6 HTTP TRACE方法測(cè)試 PAGEREF _Toc6 h 19 HYPERLINK l _Toc7 HTTP MOVE方法測(cè)試 PAGEREF _Toc7 h 20 HYPERLINK l _Toc8 H

8、TTP COPY方法測(cè)試 PAGEREF _Toc8 h 20 HYPERLINK l _Toc9 Web服務(wù)器版本信息收集 PAGEREF _Toc9 h 21 HYPERLINK l _Toc0 文件、目錄測(cè)試 PAGEREF _Toc0 h 22 HYPERLINK l _Toc1 工具方式的敏感接口遍歷 PAGEREF _Toc1 h 22 HYPERLINK l _Toc2 Robots方式的敏感接口查找 PAGEREF _Toc2 h 24 HYPERLINK l _Toc3 Web服務(wù)器的控制臺(tái) PAGEREF _Toc3 h 25 HYPERLINK l _Toc4 目錄列表測(cè)

9、試 PAGEREF _Toc4 h 27 HYPERLINK l _Toc5 文件歸檔測(cè)試 PAGEREF _Toc5 h 29 HYPERLINK l _Toc6 認(rèn)證測(cè)試 PAGEREF _Toc6 h 30 HYPERLINK l _Toc7 驗(yàn)證碼測(cè)試 PAGEREF _Toc7 h 30 HYPERLINK l _Toc8 認(rèn)證錯(cuò)誤提示 PAGEREF _Toc8 h 31 HYPERLINK l _Toc9 鎖定策略測(cè)試 PAGEREF _Toc9 h 32 HYPERLINK l _Toc0 認(rèn)證繞過測(cè)試 PAGEREF _Toc0 h 33 HYPERLINK l _Toc1

10、找回密碼測(cè)試 PAGEREF _Toc1 h 33 HYPERLINK l _Toc2 修改密碼測(cè)試 PAGEREF _Toc2 h 34 HYPERLINK l _Toc3 不安全的數(shù)據(jù)傳輸 PAGEREF _Toc3 h 35 HYPERLINK l _Toc4 強(qiáng)口令策略測(cè)試 PAGEREF _Toc4 h 36 HYPERLINK l _Toc5 會(huì)話管理測(cè)試 PAGEREF _Toc5 h 37 HYPERLINK l _Toc6 身份信息維護(hù)方式測(cè)試 PAGEREF _Toc6 h 37 HYPERLINK l _Toc7 Cookie存儲(chǔ)方式測(cè)試 PAGEREF _Toc7 h

11、38 HYPERLINK l _Toc8 用戶注銷登陸的方式測(cè)試 PAGEREF _Toc8 h 38 HYPERLINK l _Toc9 注銷時(shí)會(huì)話信息是否清除測(cè)試 PAGEREF _Toc9 h 39 HYPERLINK l _Toc0 會(huì)話超時(shí)時(shí)間測(cè)試 PAGEREF _Toc0 h 40 HYPERLINK l _Toc1 會(huì)話定置測(cè)試 PAGEREF _Toc1 h 40 HYPERLINK l _Toc2 會(huì)話標(biāo)識(shí)攜帶 PAGEREF _Toc2 h 41 HYPERLINK l _Toc3 會(huì)話標(biāo)識(shí)隨機(jī)性測(cè)試 PAGEREF _Toc3 h 42 HYPERLINK l _Toc

12、4 權(quán)限管理測(cè)試 PAGEREF _Toc4 h 46 HYPERLINK l _Toc5 橫向測(cè)試 PAGEREF _Toc5 h 47 HYPERLINK l _Toc6 縱向測(cè)試 PAGEREF _Toc6 h 49 HYPERLINK l _Toc7 跨站偽造請(qǐng)求測(cè)試 PAGEREF _Toc7 h 54 HYPERLINK l _Toc8 文件上傳下載測(cè)試 PAGEREF _Toc8 h 56 HYPERLINK l _Toc9 文件上傳測(cè)試 PAGEREF _Toc9 h 56 HYPERLINK l _Toc0 文件下載測(cè)試 PAGEREF _Toc0 h 57 HYPERLIN

13、K l _Toc1 信息泄漏測(cè)試 PAGEREF _Toc1 h 59 HYPERLINK l _Toc2 連接數(shù)據(jù)庫(kù)的帳號(hào)密碼加密測(cè)試 PAGEREF _Toc2 h 59 HYPERLINK l _Toc3 客戶端源代碼敏感信息測(cè)試 PAGEREF _Toc3 h 59 HYPERLINK l _Toc4 客戶端源代碼注釋測(cè)試 PAGEREF _Toc4 h 60 HYPERLINK l _Toc5 異常處理 PAGEREF _Toc5 h 60 HYPERLINK l _Toc6 頁(yè)面測(cè)試 PAGEREF _Toc6 h 62 HYPERLINK l _Toc7 Web服務(wù)器狀態(tài)信息測(cè)試

14、 PAGEREF _Toc7 h 63 HYPERLINK l _Toc8 不安全的存儲(chǔ) PAGEREF _Toc8 h 63 HYPERLINK l _Toc9 輸入數(shù)據(jù)測(cè)試 PAGEREF _Toc9 h 64 HYPERLINK l _Toc0 SQL注入測(cè)試 PAGEREF _Toc0 h 64 HYPERLINK l _Toc1 LDAP注入測(cè)試 PAGEREF _Toc1 h 66 HYPERLINK l _Toc2 MML語(yǔ)法注入 PAGEREF _Toc2 h 66 HYPERLINK l _Toc3 命令執(zhí)行測(cè)試 PAGEREF _Toc3 h 67 HYPERLINK l

15、_Toc4 回車換行符（CRLF）注入測(cè)試 PAGEREF _Toc4 h 68 HYPERLINK l _Toc5 XML注入測(cè)試 PAGEREF _Toc5 h 70 HYPERLINK l _Toc6 跨站腳本測(cè)試 PAGEREF _Toc6 h 73 HYPERLINK l _Toc7 GET方式跨站腳本測(cè)試 PAGEREF _Toc7 h 73 HYPERLINK l _Toc8 POST方式跨站腳本測(cè)試 PAGEREF _Toc8 h 74 HYPERLINK l _Toc9 URL跨站腳本測(cè)試 PAGEREF _Toc9 h 75 HYPERLINK l _Toc0 邏輯測(cè)試 P

16、AGEREF _Toc0 h 76 HYPERLINK l _Toc1 搜索引擎信息收集 PAGEREF _Toc1 h 76 HYPERLINK l _Toc2 Web Service測(cè)試 PAGEREF _Toc2 h 77 HYPERLINK l _Toc3 DWR（Direct Web Remoting）測(cè)試 PAGEREF _Toc3 h 81 HYPERLINK l _Toc4 HTML5安全測(cè)試 PAGEREF _Toc4 h 83 HYPERLINK l _Toc5 跨域資源共享測(cè)試 PAGEREF _Toc5 h 83 HYPERLINK l _Toc6 Web客戶端存儲(chǔ)安全

17、測(cè)試 PAGEREF _Toc6 h 86 HYPERLINK l _Toc7 WebWorker安全測(cè)試 PAGEREF _Toc7 h 89 HYPERLINK l _Toc8 FLASH安全配置測(cè)試 PAGEREF _Toc8 h 90 HYPERLINK l _Toc9 其他 PAGEREF _Toc9 h 91 HYPERLINK l _Toc0 日志審計(jì) PAGEREF _Toc0 h 91 HYPERLINK l _Toc1 class文件反編譯測(cè)試 PAGEREF _Toc1 h 92 HYPERLINK l _Toc2 WEB部署與管理測(cè)試 PAGEREF _Toc2 h 9

18、2 HYPERLINK l _Toc3 Struts2框架測(cè)試 PAGEREF _Toc3 h 93 HYPERLINK l _Toc4 4AppScan測(cè)試覆蓋項(xiàng)說明 PAGEREF _Toc4 h 95 HYPERLINK l _Toc5 5附件 PAGEREF _Toc5 h 96 HYPERLINK l _Toc6 本規(guī)范所涉及的測(cè)試工具 PAGEREF _Toc6 h 96 HYPERLINK l _Toc7 HTML5新增標(biāo)簽 PAGEREF _Toc7 h 96 HYPERLINK l _Toc8 結(jié)構(gòu)標(biāo)簽 PAGEREF _Toc8 h 96 HYPERLINK l _Toc9

19、 多媒體標(biāo)簽 PAGEREF _Toc9 h 97 HYPERLINK l _Toc0 Web應(yīng)用標(biāo)簽 PAGEREF _Toc0 h 97 HYPERLINK l _Toc1 其他標(biāo)簽 PAGEREF _Toc1 h 97Web安全測(cè)試規(guī)范縮略語(yǔ)清單縮略語(yǔ)全稱CRLFrn回車換行LDAPLightweightDirectoryAccessProtocol 輕量級(jí)目錄訪問協(xié)議MMLman-machine language 人機(jī)交互語(yǔ)言SessionID標(biāo)志會(huì)話的IDWeb ServiceWeb服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù)，通過標(biāo)準(zhǔn)的Web協(xié)議提供服務(wù)，目的是保證不同平臺(tái)的應(yīng)用服務(wù)可以互操作。

20、SOAPSimple Object Access Protocol 簡(jiǎn)單對(duì)象訪問協(xié)議XSSCross Site Scripting 跨站腳本CSRFCross Site Request Forgery 跨站請(qǐng)求偽造概述背景簡(jiǎn)介在Internet大眾化、Web技術(shù)飛速演變、黑客工具日益普及的今天，針對(duì)Web的攻擊和破壞不斷增多，在線安全面臨日益嚴(yán)峻的挑戰(zhàn)，安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。為了規(guī)避Web安全風(fēng)險(xiǎn)、規(guī)范Web安全開發(fā)，公司已經(jīng)制定并發(fā)布了Web 應(yīng)用安全開發(fā)規(guī)范；但如何系統(tǒng)的進(jìn)行Web安全性測(cè)試，目前缺少相應(yīng)的理論和方法支撐。為此，我們制定Web 安全測(cè)試規(guī)范，本規(guī)范可讓測(cè)試人員針對(duì)W

21、eb常見安全漏洞或攻擊方式，系統(tǒng)的對(duì)被測(cè)Web系統(tǒng)進(jìn)行快速安全性測(cè)試。適用讀者本規(guī)范的讀者及使用對(duì)象主要為Web相關(guān)的測(cè)試人員、開發(fā)人員、專職的安全測(cè)試評(píng)估人員等。適用范圍本規(guī)范主要針對(duì)基于通用服務(wù)器的Web應(yīng)用系統(tǒng)，其他Web系統(tǒng)也可以參考，如基于嵌入式系統(tǒng)的Web維護(hù)接口等。如下圖例說明了一種典型的基于通用服務(wù)器的Web應(yīng)用系統(tǒng)：Web應(yīng)用應(yīng)用服務(wù)器UniportalJBoss客戶端Web服務(wù)器IISApache數(shù)據(jù)庫(kù)服務(wù)器OracleDB2本規(guī)范中的方法以攻擊性測(cè)試為主。除了覆蓋業(yè)界常見的Web安全測(cè)試方法以外，也借鑒了一些業(yè)界最佳安全實(shí)踐，涵蓋Web安全開發(fā)規(guī)范的內(nèi)容。安全測(cè)試在IPD

22、流程中所處的位置一般建議在TR4前根據(jù)產(chǎn)品實(shí)現(xiàn)架構(gòu)及安全需求，完成Web安全性測(cè)試需求分析和測(cè)試設(shè)計(jì)，準(zhǔn)備好Web安全測(cè)試用例。在TR4版本正式轉(zhuǎn)測(cè)試后，即可進(jìn)行Web安全測(cè)試。如果產(chǎn)品質(zhì)量不穩(wěn)定，前期功能性問題較多，則可適當(dāng)推后Web安全測(cè)試執(zhí)行，但最遲不得超過TR5。安全測(cè)試與安全風(fēng)險(xiǎn)評(píng)估的關(guān)系說明安全風(fēng)險(xiǎn)是指威脅利用脆弱性對(duì)目標(biāo)系統(tǒng)造成安全影響的可能性及嚴(yán)重程度。其中威脅（Threat）是指可能對(duì)目標(biāo)系統(tǒng)造成損害的潛在原因，包括物理環(huán)境威脅、人為威脅等。脆弱性(Vulnerability)也稱弱點(diǎn)，是應(yīng)用系統(tǒng)本身存在的，包括系統(tǒng)實(shí)現(xiàn)中的缺陷、配置中的弱點(diǎn)等。外部威脅利用系統(tǒng)的脆弱性達(dá)到破

23、壞系統(tǒng)安全運(yùn)行的目的。本規(guī)范所描述的安全測(cè)試僅是安全風(fēng)險(xiǎn)評(píng)估中的一個(gè)活動(dòng)，對(duì)應(yīng)于安全風(fēng)險(xiǎn)評(píng)估過程中的脆弱性識(shí)別部分，特別是技術(shù)性的脆弱性識(shí)別。完整的安全風(fēng)險(xiǎn)評(píng)估過程、概念見GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范。注意事項(xiàng)Web安全測(cè)試的執(zhí)行，對(duì)于被測(cè)系統(tǒng)，或多或少都會(huì)存在一些影響（比如性能、垃圾數(shù)據(jù)），建議只在測(cè)試環(huán)境中進(jìn)行；如果一定要在現(xiàn)網(wǎng)運(yùn)行環(huán)境中執(zhí)行，那么務(wù)必配置專門的測(cè)試數(shù)據(jù)，測(cè)試執(zhí)行是應(yīng)該非常慎重，只能修改或刪除這些測(cè)試數(shù)據(jù)，禁止修改、刪除現(xiàn)網(wǎng)其他數(shù)據(jù)。本規(guī)范最主要目的是為了發(fā)現(xiàn)安全弱點(diǎn)，至于發(fā)現(xiàn)一個(gè)弱點(diǎn)以后更深一步的滲透測(cè)試在這里不會(huì)涉及。例如針對(duì)暴力破解測(cè)

24、試，我們只給出驗(yàn)證存在暴力破解漏洞的可能，但不會(huì)提供暴力破解的方法。本文檔中所有提及的測(cè)試工具的申請(qǐng)和使用，請(qǐng)遵循公司信息安全相關(guān)規(guī)定。如果是內(nèi)部試驗(yàn)環(huán)境進(jìn)行測(cè)試，可以考慮去除一些防護(hù)措施或設(shè)備（如防火墻），這樣能保證發(fā)現(xiàn)問題的全面性。本文檔根據(jù)最嚴(yán)格的方式對(duì)目標(biāo)進(jìn)行測(cè)試，如果產(chǎn)品線對(duì)安全的要求不高且有自身的安全策略規(guī)定時(shí)，可以視情況對(duì)測(cè)試項(xiàng)進(jìn)行部分測(cè)試。例如密碼策略測(cè)試項(xiàng)中，測(cè)試人員可以根據(jù)測(cè)試目標(biāo)的密碼位數(shù)要求進(jìn)行測(cè)試，而不需要完全依照測(cè)試項(xiàng)里面規(guī)定的位數(shù)進(jìn)行測(cè)試。測(cè)試用例級(jí)別說明一個(gè)安全漏洞的風(fēng)險(xiǎn)程度受危害程度和概率的影響，我們定義了如下所示的關(guān)系：危害程度發(fā)生概率高中低高高高中中高中低

25、低中低低 表1 風(fēng)險(xiǎn)等級(jí)界定表本測(cè)試規(guī)范用例根據(jù)上面的定義分為四個(gè)測(cè)試級(jí)別：測(cè)試用例級(jí)別說明1基本：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為高的安全漏洞，在任何情況下都必須進(jìn)行測(cè)試。2重要：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為中的安全漏洞，在條件允許（時(shí)間、人力充沛）情況下必須進(jìn)行測(cè)試。3一般：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為低的安全漏洞，測(cè)試結(jié)果可能對(duì)其他測(cè)試有幫助。測(cè)試與否根據(jù)業(yè)務(wù)系統(tǒng)的重要性來判斷。4生僻：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為極低的安全漏洞，攻擊者只能收集到很少且無關(guān)緊要的信息。一般情況下不建議進(jìn)行測(cè)試。 表2 測(cè)試級(jí)別說明表測(cè)試過程示意圖本測(cè)試主要包括主動(dòng)模式和被動(dòng)模式兩種。在被動(dòng)模式中，測(cè)試

26、人員盡可能的了解應(yīng)用邏輯：比如用工具分析所有的HTTP請(qǐng)求及響應(yīng)，以便測(cè)試人員掌握應(yīng)用程序所有的接入點(diǎn)（包括HTTP頭，參數(shù)，cookies等）；在主動(dòng)模式中，測(cè)試人員試圖以黑客的身份來對(duì)應(yīng)用及其系統(tǒng)、后臺(tái)等進(jìn)行滲透測(cè)試，其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)等。一般測(cè)試人員需要先熟悉目標(biāo)系統(tǒng)，即被動(dòng)模式下的測(cè)試，然后再開展進(jìn)一步的分析，即主動(dòng)模式下的測(cè)試。主動(dòng)測(cè)試會(huì)與被測(cè)目標(biāo)進(jìn)行直接的數(shù)據(jù)交互，而被動(dòng)測(cè)試不需要。造成的影響主動(dòng)模式被動(dòng)模式 初始化 完成Web結(jié)構(gòu)獲取權(quán)限測(cè)試歸檔測(cè)試參數(shù)分析異常處理注入測(cè)試命令執(zhí)行文件包含跨站腳本信息竊取備份文件后臺(tái)查找目錄列表會(huì)話管理信息泄漏數(shù)據(jù)破壞拒絕服

27、務(wù)信息獲取熟悉業(yè)務(wù)邏輯Google Hacking接口測(cè)試認(rèn)證測(cè)試暴力破解認(rèn)證繞過邏輯處理越權(quán)操作身份仿冒日志檢查拒絕服務(wù)上傳下載Web安全測(cè)試規(guī)范自動(dòng)化Web漏洞掃描工具測(cè)試自動(dòng)化掃描工具只能檢測(cè)到部分常見的漏洞（如跨站腳本、SQL注入等），不是針對(duì)用戶代碼的，也就是說不能理解業(yè)務(wù)邏輯，無法對(duì)這些漏洞做進(jìn)一步業(yè)務(wù)上的判斷。往往最嚴(yán)重的安全問題并不是常見的漏洞，而是通過這些漏洞針對(duì)業(yè)務(wù)邏輯和應(yīng)用的攻擊。Web目前分為application和Web service兩部分。Application指通常意義上的Web應(yīng)用，而Web service是一種面向服務(wù)的架構(gòu)的技術(shù)，通過標(biāo)準(zhǔn)的Web協(xié)議（如H

28、TTP、XML、SOAP、WSDL）提供服務(wù)。AppScan application掃描測(cè)試編號(hào)SEC_Web_TOOL_01測(cè)試用例名稱AppScan application 掃描測(cè)試測(cè)試目的利用自動(dòng)化的Web安全掃描工具AppScan進(jìn)行掃描，以發(fā)現(xiàn)Web應(yīng)用中存在的常見漏洞用例級(jí)別1測(cè)試條件已知Web服務(wù)器域名或IP地址Web業(yè)務(wù)運(yùn)行正常測(cè)試用機(jī)上安裝了AppScan執(zhí)行步驟雙擊運(yùn)行AppScan，選擇filenew新建掃描，選擇掃描模板default彈出掃描配置對(duì)話框，選擇掃描類型，默認(rèn)為Web Application Scan，點(diǎn)擊next在Starting URL中填入需掃描的目標(biāo)

29、服務(wù)器域名或IP地址，其他配置不需修改，點(diǎn)擊next選擇No Login，點(diǎn)擊next不需修改任何參數(shù)，點(diǎn)擊next不需修改參數(shù)，選擇Start a full automatic scan，點(diǎn)擊finish完成配置，開始掃描掃描完成，保存掃描結(jié)果，并對(duì)結(jié)果進(jìn)行分析預(yù)期結(jié)果經(jīng)過對(duì)掃描結(jié)果分析，確認(rèn)不存在“中等等級(jí)”及以上級(jí)別的漏洞。備注注意：該用例的執(zhí)行對(duì)被測(cè)系統(tǒng)的性能影響比較大，而且可能導(dǎo)致一些垃圾數(shù)據(jù)，建議只在測(cè)試環(huán)境執(zhí)行。由于自動(dòng)化工具在很多情況下只是提示一種漏洞存在的可能，因此需要對(duì)所有的結(jié)果進(jìn)行人工的分析判斷。分析過程參考以下章節(jié)的測(cè)試項(xiàng)，使用輔助工具或者是手動(dòng)驗(yàn)證。業(yè)界常用的自動(dòng)化掃

30、描工具還有WebInspcet，NStalker，Acunetix Web Vulnerability Scanner。在有條件的情況下，可以綜合使用。測(cè)試結(jié)果AppScan Web Service 掃描測(cè)試編號(hào)SEC_Web_ TOOL_02測(cè)試用例名稱AppScan Web Service 掃描測(cè)試測(cè)試目的利用自動(dòng)化的Web安全掃描工具AppScan進(jìn)行掃描，以發(fā)現(xiàn)Web Service中存在的漏洞用例級(jí)別1測(cè)試條件已知Web服務(wù)器域名或IP地址Web業(yè)務(wù)運(yùn)行正常目標(biāo)系統(tǒng)使用了Web Service服務(wù)測(cè)試用機(jī)上安裝了AppScan執(zhí)行步驟雙擊運(yùn)行AppScan，選擇filenew新建掃描

31、，選擇掃描模板default彈出掃描配置對(duì)話框，選擇掃描類型，默認(rèn)為Web Service Scan，點(diǎn)擊next在Starting URL中填入需掃描的目標(biāo)服務(wù)器域名或IP地址，其他配置不需修改，點(diǎn)擊next不需修改任何參數(shù)，點(diǎn)擊next不需修改任何參數(shù)，點(diǎn)擊Finish完成配置，開始掃描掃描完成，保存掃描結(jié)果，并對(duì)結(jié)果進(jìn)行分析預(yù)期結(jié)果經(jīng)過分析確認(rèn)以后的掃描結(jié)果中不存在信息提示以上等級(jí)的漏洞。備注注意：該用例的執(zhí)行對(duì)被測(cè)系統(tǒng)的性能影響比較大，而且可能導(dǎo)致一些垃圾數(shù)據(jù)，建議只在測(cè)試環(huán)境執(zhí)行。由于自動(dòng)化工具在很多情況下只是提示一種漏洞存在的可能，因此需要對(duì)所有的結(jié)果進(jìn)行人工的分析判斷。測(cè)試結(jié)果服

32、務(wù)器信息收集運(yùn)行帳號(hào)權(quán)限測(cè)試編號(hào)SEC_Web_ SERVERINFO_01測(cè)試用例名稱運(yùn)行帳號(hào)權(quán)限測(cè)試測(cè)試目的運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)權(quán)限越高，那么Web遭到攻擊產(chǎn)生的危害就越大。因此，不應(yīng)使用“root”、“administrator”、等特權(quán)帳號(hào)或高級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)來運(yùn)行Web，應(yīng)該盡可能地使用低級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址和OS登陸帳號(hào)、密碼執(zhí)行步驟登陸Web服務(wù)器操作系統(tǒng)查看運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)，不是“root”、“administrator”等特權(quán)帳號(hào)或高級(jí)別權(quán)限帳號(hào)，如果是則存在漏洞。window：打開任務(wù)管理器，選擇“進(jìn)

33、程”頁(yè)，勾選左下方的“顯示所有用戶的進(jìn)程”，檢查運(yùn)行Web服務(wù)器的帳號(hào)；unix：使用“ps ef|grep java”命令，返回結(jié)果第一列的操作系統(tǒng)用戶就是運(yùn)行Web服務(wù)器的帳號(hào)；預(yù)期結(jié)果沒有使用“root”、“administrator”等特權(quán)操作系統(tǒng)帳號(hào)運(yùn)行Web。備注測(cè)試結(jié)果Web服務(wù)器端口掃描編號(hào)SEC_Web_SERVERINFO_02測(cè)試用例名稱Web服務(wù)器端口掃描測(cè)試目的有時(shí)Web應(yīng)用服務(wù)器除業(yè)務(wù)端口外還會(huì)開放一些默認(rèn)端口（如Jboss開放的8083），這些默認(rèn)端口對(duì)最終用戶是不需要開放的，而且也不會(huì)用于維護(hù)，容易被攻擊，本測(cè)試目的在于發(fā)現(xiàn)服務(wù)器上未使用的Web端口。用例級(jí)別1

34、測(cè)試條件已知Web服務(wù)器域名或IP地址，假設(shè)IP地址為測(cè)試用機(jī)安裝了nmap，假設(shè)路徑為d:nmap執(zhí)行步驟打開命令提示符，切換到nmap路徑下,輸入cd /d d:nmap運(yùn)行nmap n P0 sS sV p1-65535 oX 使用瀏覽器打開觀察結(jié)果，看是否為必須開放的Web服務(wù)端口。預(yù)期結(jié)果系統(tǒng)未開放業(yè)務(wù)不需要使用的端口。備注各種參數(shù)掃描請(qǐng)參考利用nmap進(jìn)行端口掃描測(cè)試結(jié)果HTTP方法測(cè)試編號(hào)SEC_Web_ SERVERINFO_03測(cè)試用例名稱開放HTTP方法測(cè)試測(cè)試目的有些Web服務(wù)器默認(rèn)情況下開放了一些不必要的HTTP方法（如DELETE、PUT、TRACE、MOVE、COP

35、Y），這樣就增加了受攻擊面。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址及Web訪問端口Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”“運(yùn)行”，輸入cmd并回車，運(yùn)行輸入telnet IP 端口 （其中IP和端口按實(shí)際情況填寫，用空格隔開）回車在新行中輸入如下一行，并回車OPTIONS / HTTP/觀察返回結(jié)果中的Allow的方法列表返回結(jié)果樣例：HTTP/ 200 OKServer: Apache-Coyote/X-Powered-By: Servlet ; 4.0.5 (build: CVSTag=Branch_4_0 date=2339)/Allow: GET, HEAD, POST, PUT,

36、DELETE, TRACE, OPTIONSContent-Length: 0Date: Mon, 29 Jun 2009 08:02:47 GMTConnection: close如果返回結(jié)果中包含不安全的HTTP方法（DELETE、PUT、TRACE、MOVE、COPY），則驗(yàn)證這些防范是否可用（參考3.2.4 / / / / ）如果方法可用則說明存在漏洞，測(cè)試不通過。預(yù)期結(jié)果不包含不安全的HTTP方法（如DELETE、PUT、TRACE、MOVE、COPY）備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/，那么步驟4返回 “HTTP/ 400 Bad Req

37、uest”；這種情況下，應(yīng)該更改步驟4的輸入行為OPTIONS / HTTP/測(cè)試結(jié)果HTTP PUT方法測(cè)試編號(hào)SEC_Web_ SERVERINFO_04測(cè)試用例名稱HTTP PUT方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了PUT方法，攻擊者能夠通過該方法上傳任意文件到Web服務(wù)器的一些目錄中去。包括Web木馬程序。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”“運(yùn)行”，輸入cmd并回車，運(yùn)行輸入telnet IP 端口 （其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet 8080）回車在新行中拷貝并粘貼以下藍(lán)色內(nèi)容，然后回車PUT / HTTP/C

38、ontent-Length: 16Hacker accessed!備注：其中“/”可以根據(jù)實(shí)際應(yīng)用路徑構(gòu)造，比如“/rbt/”打開IE訪問 :8080/如果響應(yīng)的頁(yè)面，顯示內(nèi)容是“Hacker accessed!”，則說明文件已創(chuàng)建，Web服務(wù)器開放了PUT方法，存在嚴(yán)重安全漏洞。預(yù)期結(jié)果訪問不到內(nèi)容為“Hacker accessed!”的文件備注1、由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/，那么步驟4返回 “HTTP/ 400 Bad Request”；這種情況下，應(yīng)該更改步驟4的輸入行為PUT / HTTP/2、如果Web服務(wù)器上運(yùn)行著多個(gè)Web應(yīng)用，比如

39、： :8080/application1/ :8080/application2/ :8080/application3/那么，必須這些應(yīng)用分別進(jìn)行測(cè)試，只需要在步驟4中修改路徑部分，例如：PUT /application3/ HTTP/Content-Length: 16Hacker accessed!測(cè)試結(jié)果HTTP DELETE方法測(cè)試編號(hào)SEC_Web_ SERVERINFO_05測(cè)試用例名稱HTTP DELETE方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了DELETE方法，攻擊者能夠通過該方法刪除Web服務(wù)器上的文件。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行Web網(wǎng)站存在

40、/文件（如果沒有，手工創(chuàng)建）執(zhí)行步驟點(diǎn)擊“開始”“運(yùn)行”，輸入cmd并回車，運(yùn)行輸入telnet IP 端口 （其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet 8080）回車在新行中輸入如下一行，并回車DELETE / HTTP/查看Web服務(wù)器上是否被刪除預(yù)期結(jié)果Web服務(wù)器上文件依然存在備注1、由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/，那么步驟4返回 “HTTP/ 400 Bad Request”；這種情況下，應(yīng)該更改步驟4的輸入行為DELETE / HTTP/2、如果Web服務(wù)器上運(yùn)行著多個(gè)Web應(yīng)用，比如： :8080/applicati

41、on1/ :8080/application2/ :8080/application3/那么，必須這些應(yīng)用分別進(jìn)行測(cè)試，只需要在步驟4中修改路徑部分，例如：DELETE /application3/ HTTP/測(cè)試結(jié)果HTTP TRACE方法測(cè)試編號(hào)SEC_Web_ SERVERINFO_06測(cè)試用例名稱HTTP TRACE方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了TRACE方法（主要是用于客戶端通過向Web服務(wù)器提交TRACE請(qǐng)求來進(jìn)行測(cè)試或獲得診斷信息），攻擊者能夠通過該方法構(gòu)造跨站攻擊。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”“運(yùn)行”，輸入cmd并回車，

42、運(yùn)行輸入telnet IP 端口 （其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet 80）回車在新行中輸入如下一行，并回車TRACE / HTTP/觀察返回結(jié)果預(yù)期結(jié)果Web服務(wù)器的返回信息提示Trace方法“not allowed”備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/，那么步驟4返回 “HTTP/ 400 Bad Request”；這種情況下，應(yīng)該更改步驟4的輸入行為TRACE / HTTP/測(cè)試結(jié)果HTTP MOVE方法測(cè)試編號(hào)SEC_Web_ SERVERINFO_07測(cè)試用例名稱HTTP MOVE方法測(cè)試測(cè)試目的有些Web服務(wù)器開

43、放了MOVE方法，用于請(qǐng)求服務(wù)器將指定的頁(yè)面移到另一個(gè)網(wǎng)絡(luò)地址，該方法不安全，容易被利用。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”“運(yùn)行”，輸入cmd并回車，運(yùn)行輸入telnet IP 端口 （其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet 80）回車在新行中輸入如下一行，并回車MOVE /test/ / HTTP/觀察返回結(jié)果預(yù)期結(jié)果Web服務(wù)器的返回信息提示MOVE方法“not supported”備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/，那么步驟4返回 “HTTP/ 400 Bad Request”

44、；這種情況下，應(yīng)該更改步驟4的輸入行為MOVE /test/ / HTTP/測(cè)試結(jié)果HTTP COPY方法測(cè)試編號(hào)SEC_Web_ SERVERINFO_08測(cè)試用例名稱HTTP COPY方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了COPY方法，用于請(qǐng)求服務(wù)器將指定的頁(yè)面拷貝到另一個(gè)網(wǎng)絡(luò)地址，該方法不安全，容易被利用。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”“運(yùn)行”，輸入cmd并回車，運(yùn)行輸入telnet IP 端口 （其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet 80）回車在新行中輸入如下一行，并回車COPY /test/ / HTTP/觀察返

45、回結(jié)果預(yù)期結(jié)果Web服務(wù)器的返回信息提示COPY方法“not supported”備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/，那么步驟4返回 “HTTP/ 400 Bad Request”；這種情況下，應(yīng)該更改步驟4的輸入行為COPY /test/ / HTTP/測(cè)試結(jié)果Web服務(wù)器版本信息收集編號(hào)SEC_Web_ SERVERINFO_09測(cè)試用例名稱Web服務(wù)器版本信息收集測(cè)試目的一些情況下，Web服務(wù)器能通過隱藏或者修改banner信息的方式防止黑客攻擊。這時(shí)候我們需要使用不依靠服務(wù)器Server標(biāo)題頭的掃描方式進(jìn)行服務(wù)器類型、版本判斷。用例級(jí)別4測(cè)試

46、條件Web業(yè)務(wù)運(yùn)行正常已知Web服務(wù)器域名或IP地址測(cè)試用機(jī)安裝了httprint（Windows環(huán)境）執(zhí)行步驟運(yùn)行在Host列中輸入主機(jī)域名（如果沒有域名則輸入IP地址），在端口列中輸入端口號(hào)。如果為HTTPS則要選擇鎖圖標(biāo)下面的選擇框。點(diǎn)擊程序下方的運(yùn)行按鈕觀察程序輸出的結(jié)果預(yù)期結(jié)果不能夠得到Web服務(wù)器準(zhǔn)確的版本信息備注測(cè)試結(jié)果文件、目錄測(cè)試工具方式的敏感接口遍歷編號(hào)SEC_Web_DIR_01測(cè)試用例名稱工具方式的敏感接口遍歷測(cè)試目的網(wǎng)站目錄查找是進(jìn)行攻擊的必備知識(shí)，只有知道了目錄信息才能確定攻擊的目標(biāo)，進(jìn)行目錄查找是測(cè)試的首要階段，一般掃描工具進(jìn)行掃描前首先要進(jìn)行目錄查找。其次對(duì)于某

47、些隱藏的管理接口（目錄或文件），雖然沒有對(duì)外有明顯的鏈接，但是通過一系列有特定含義的枚舉是可以訪問的。用例級(jí)別2測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址測(cè)試用機(jī)上需安裝JRE測(cè)試用機(jī)上有DirBuster軟件執(zhí)行步驟雙擊運(yùn)行在host欄中填入目標(biāo)IP地址或域名，在Port欄中輸入服務(wù)器對(duì)應(yīng)的端口；如果服務(wù)器只接受HTTPS請(qǐng)求，則需要選擇Protocol為HTTPS在file with list of dirs/files 欄后點(diǎn)擊browse，選擇破解的字典庫(kù)為將File extension中填入正確的文件后綴，默認(rèn)為php，如果為jsp頁(yè)面，需要填入jsp其他選項(xiàng)不變，點(diǎn)擊右

48、下角的start，啟動(dòng)目錄查找觀察返回結(jié)果，可點(diǎn)擊右下角的report，生成目錄報(bào)告預(yù)期結(jié)果經(jīng)過分析以后的結(jié)果中，業(yè)務(wù)系統(tǒng)不存在不需要對(duì)外開放的敏感接口，或者該接口進(jìn)行了完善的權(quán)限控制。備注舉一個(gè)測(cè)試不通過的例子：TypeFoundResponseFile/admin/200測(cè)試結(jié)果Robots方式的敏感接口查找編號(hào)SEC_Web_ DIR_02測(cè)試用例名稱Robots方式的敏感接口查找測(cè)試目的為了防止搜索引擎的爬蟲訪問敏感的目錄接口，服務(wù)器上可能會(huì)編輯一個(gè)文件，內(nèi)容為需要保護(hù)的文件或目錄名稱。直接訪問文件能夠獲取一些可能的敏感接口用例級(jí)別2測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知待測(cè)目標(biāo)URL，假設(shè)為

49、執(zhí)行步驟嘗試訪問例如可能返回如下結(jié)果：觀察返回結(jié)果預(yù)期結(jié)果通過文件不能獲取敏感的目錄或文件信息。備注敏感目錄舉例：/employee/salary_files/敏感文件舉例：/sys_manager/測(cè)試結(jié)果Web服務(wù)器的控制臺(tái)編號(hào)SEC_Web_DIR_03測(cè)試用例名稱Web服務(wù)器的控制臺(tái)測(cè)試目的檢查是否部署了Web服務(wù)器的控制臺(tái)，控制臺(tái)是否存在默認(rèn)帳號(hào)、口令，是否存在弱口令。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址已知Web服務(wù)器版本信息執(zhí)行步驟根據(jù)Web服務(wù)器的版本信息，通過google查詢其對(duì)應(yīng)的控制臺(tái)URL地址和默認(rèn)的帳號(hào)、口令。以下列出一些常見的Web服務(wù)器

50、控制臺(tái)URL地址和默認(rèn)帳號(hào)、口令：Tomcat控制臺(tái)URL：控制臺(tái)默認(rèn)帳號(hào)admin，默認(rèn)密碼tomcat或admin或空Tomcat控制臺(tái)默認(rèn)帳號(hào)tomcat，默認(rèn)密碼tomcatJboss控制臺(tái)URL：控制臺(tái)URL：控制臺(tái)默認(rèn)無須登陸，或者admin/adminWebSphere控制臺(tái)URL：默認(rèn)帳號(hào)admin，默認(rèn)密碼adminWebLogic控制臺(tái)URL： （一般console的端口為7001）WebLogic默認(rèn)帳號(hào)weblogic，默認(rèn)密碼weblogicApache控制臺(tái)URL：控制臺(tái)URL：控制臺(tái)默認(rèn)口令帳戶：admin/axis2iSAP控制臺(tái)URL：控制臺(tái)默認(rèn)的帳號(hào)和密碼：

51、admin/adminVirgo控制臺(tái)URL：控制臺(tái)默認(rèn)的帳號(hào)和密碼：admin/springsourceuniportal控制臺(tái)URL：控制臺(tái)默認(rèn)的帳號(hào)和密碼：admin/uniportal控制臺(tái)URL：及更新版本的控制臺(tái)URL：（Resin的控制臺(tái)應(yīng)該限制只能本機(jī)訪問，也就是只能從安裝本resin服務(wù)器的機(jī)器上訪問對(duì)應(yīng)resin的控制臺(tái)） “普元”管理控制臺(tái)URL：普元”管理控制臺(tái)默認(rèn)的帳號(hào)和密碼：sysadmin/000000在瀏覽器地址欄中輸入Web服務(wù)器對(duì)應(yīng)的URL。由于不同的應(yīng)用可能目錄有所差異，如果訪問不到，可以登陸后臺(tái)服務(wù)器以find命令查找，比如find / -name “*

52、console*”，find / -name “*admin*”，看看實(shí)際的URL應(yīng)該是什么，再次嘗試。檢查是否存在Web服務(wù)器控制臺(tái)如果存在控制臺(tái)，使用默認(rèn)帳號(hào)、口令登錄，弱口令登錄，查看是否登錄成功，如果可以則存在漏洞。預(yù)期結(jié)果不存在Web服務(wù)器控制臺(tái)，或者存在控制臺(tái)但有強(qiáng)口令。備注弱口令例子：123、123456、abc、huawei、admin、tellin、isap、scp等；另外，和用戶名相同或非常接近的口令也屬于弱口令，比如用戶名為tomcat，口令為tomcat1。測(cè)試結(jié)果目錄列表測(cè)試編號(hào)SEC_Web_ DIR_04測(cè)試用例名稱目錄列表測(cè)試測(cè)試目的目錄列表能夠造成信息泄漏，而

53、且對(duì)于攻擊者而言是非常容易進(jìn)行的。所以在測(cè)試過程中，我們應(yīng)當(dāng)找出所有的目錄列表漏洞。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址測(cè)試用機(jī)上需安裝JRE測(cè)試用機(jī)上有DirBuster軟件執(zhí)行步驟雙擊運(yùn)行0.9.8在host欄中填入目標(biāo)IP地址或域名，在Port欄中輸入服務(wù)器對(duì)應(yīng)的端口；如果服務(wù)器只接受HTTPS請(qǐng)求，則需要選擇Protocol為HTTPS在file with list of dirs/files 欄后點(diǎn)擊browse，選擇破解的字典庫(kù)為：去除Burte Force Files選項(xiàng)其他選項(xiàng)不變，點(diǎn)擊右下角的start，啟動(dòng)目錄查找依次右擊Response值為20

54、0的行，在出現(xiàn)的菜單中點(diǎn)擊Open In Browser分析結(jié)果預(yù)期結(jié)果所有對(duì)目錄的訪問均不能打印出文件列表。備注測(cè)試結(jié)果文件歸檔測(cè)試編號(hào)SEC_Web_ DIR_05_01測(cè)試用例名稱文件歸檔測(cè)試測(cè)試目的在網(wǎng)站管理員的維護(hù)過程中，很多情況下會(huì)對(duì)程序或者頁(yè)面進(jìn)行備份（可能是有意的或者是無意的，如ultraedit在修改后會(huì)生成文件名加bak后綴的文件）。攻擊者通過直接訪問這些備份的路徑可以下載文件用例級(jí)別1測(cè)試條件擁有運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)和口令Web業(yè)務(wù)運(yùn)行正常執(zhí)行步驟登陸后臺(tái)Web服務(wù)器的操作系統(tǒng)以cd命令進(jìn)入可以通過Web方式訪問的目錄（比如tomcat服務(wù)器的$home/web

55、apps目錄，jboss服務(wù)器的$home/jboss/server/default/deploy目錄）預(yù)期結(jié)果可以通過Web方式訪問的目錄，不存在開發(fā)過程（包括現(xiàn)場(chǎng)定制）中的產(chǎn)生的臨時(shí)文件、備份文件等。備注測(cè)試結(jié)果編號(hào)SEC_Web_ DIR_05_02測(cè)試用例名稱版本控制軟件SVN備份文件測(cè)試測(cè)試目的在開發(fā)環(huán)境時(shí)常使用版本控制軟件管理代碼，常用的有SVN，SVN在管理代碼的過程中會(huì)自動(dòng)生成一個(gè)名為.svn的隱藏文件夾，svn目錄下還包含了以.svn-base結(jié)尾的源代碼文件副本。但一些網(wǎng)站管理員在發(fā)布代碼時(shí)，不愿意使用導(dǎo)出功能，而是直接復(fù)制代碼文件夾到WEB服務(wù)器上，這就使.svn隱藏文件

56、夾被暴露于外網(wǎng)環(huán)境，黑客可以借助其中包含的用于版本信息追蹤的entries文件，逐步摸清站點(diǎn)結(jié)構(gòu)?！庇美?jí)別1測(cè)試條件1、Web業(yè)務(wù)運(yùn)行正常并用SVN進(jìn)行版本管理2、在生產(chǎn)環(huán)境中未刪除相關(guān)SVN的文件執(zhí)行步驟1、假設(shè)存在這樣的目錄，如。2、打開瀏覽器，直接在URL后面加上“.svn/entries”，查看是否出現(xiàn)目錄結(jié)構(gòu)、文件等敏感信息3、假設(shè)存在這樣的文件，如。打開瀏覽器，直接在URL后面加上“.svn/text-base/，查看是否出現(xiàn)該jsp文件的源碼。預(yù)期結(jié)果不能訪問以下鏈接獲得目錄結(jié)構(gòu)和頁(yè)面源代碼等敏感信息備注發(fā)現(xiàn)有SVN漏洞后可以用Seay-SVN這個(gè)軟件把整個(gè)Web站點(diǎn)下載下來或

57、在線管理，如圖：測(cè)試結(jié)果認(rèn)證測(cè)試暴力破解是目前最直接有效的攻擊方式，特別對(duì)于電信業(yè)務(wù)來說，很多情況下口令都為6位純數(shù)字，很容易被攻擊。本測(cè)試項(xiàng)在于檢查認(rèn)證系統(tǒng)對(duì)暴力破解的防護(hù)性。在以下的一些測(cè)試中，圍繞能否滿足暴力破解進(jìn)行的設(shè)計(jì)，未設(shè)計(jì)直接進(jìn)行暴力破解的攻擊用例。如果需要，測(cè)試人員可以使用hydra和AppScan中集成的Authentication Tester工具進(jìn)行。驗(yàn)證碼測(cè)試編號(hào)SEC_Web_AUTHEN_01測(cè)試用例名稱驗(yàn)證碼測(cè)試測(cè)試目的查看是否有驗(yàn)證碼機(jī)制，以及驗(yàn)證碼機(jī)制是否完善用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常存在登陸頁(yè)面執(zhí)行步驟登陸頁(yè)面是否存在驗(yàn)證碼，不存

58、在說明存在漏洞，完成測(cè)試驗(yàn)證碼和用戶名、密碼是否一次性、同時(shí)提交給服務(wù)器驗(yàn)證，如果是分開提交、分開驗(yàn)證，則存在漏洞在服務(wù)器端，是否只有在驗(yàn)證碼檢驗(yàn)通過后才進(jìn)行用戶名和密碼的檢驗(yàn)，如果不是說明存在漏洞。（檢測(cè)方法：輸入錯(cuò)誤的用戶名或密碼、錯(cuò)誤的驗(yàn)證碼。觀察返回信息，是否只提示驗(yàn)證碼錯(cuò)誤，也就是說當(dāng)驗(yàn)證碼錯(cuò)誤時(shí)，禁止再判斷用戶名和密碼。）驗(yàn)證碼是否為圖片形式且在一張圖片中，不為圖片形式或不在一張圖片中，說明存在漏洞，完成測(cè)試生成的驗(yàn)證碼是否可以通過html源代碼查看到，如果可以說明存在漏洞，完成測(cè)試生成驗(yàn)證碼的模塊是否根據(jù)提供的參數(shù)生成驗(yàn)證碼，如果是說明存在漏洞，完成測(cè)試請(qǐng)求10次觀察驗(yàn)證碼是否隨

59、機(jī)生成，如果存在一定的規(guī)律（例如5次后出現(xiàn)同一驗(yàn)證碼）說明存在漏洞，完成測(cè)試觀察驗(yàn)證碼圖片中背景是否存在無規(guī)律的點(diǎn)或線條，如果背景為純色（例如只有白色）說明存在漏洞，完成測(cè)試驗(yàn)證碼在認(rèn)證一次后是否立即失效：請(qǐng)求登陸頁(yè)面，得到生成的驗(yàn)證碼開啟WebScarab，配置對(duì)GET和POST請(qǐng)求進(jìn)行攔截；并在瀏覽器中配置代理服務(wù)器IP為，端口為8008填入錯(cuò)誤的用戶名和口令，填入正確的驗(yàn)證碼，提交表單從WebScarab攔截?cái)?shù)據(jù)中復(fù)制對(duì)應(yīng)登陸請(qǐng)求的POST或GET消息（文本格式），將其中的口令更改一個(gè)字符在命令行中輸入telnet ，回車將修改的內(nèi)容粘貼到命令行窗口中，回車判斷返回的頁(yè)面中是否包含“驗(yàn)證

60、碼錯(cuò)誤”（或類似）的提示，如果沒有，說明存在漏洞，完成測(cè)試預(yù)期結(jié)果不存在上述漏洞備注本用例根據(jù)最嚴(yán)格的方式對(duì)目標(biāo)進(jìn)行測(cè)試，如果產(chǎn)品線對(duì)安全的要求不高且有自身的安全策略規(guī)定時(shí)，可以視情況對(duì)測(cè)試項(xiàng)進(jìn)行部分測(cè)試測(cè)試結(jié)果認(rèn)證錯(cuò)誤提示編號(hào)SEC_Web_ AUTHEN_02測(cè)試用例名稱認(rèn)證錯(cuò)誤提示測(cè)試目的為了進(jìn)行暴力破解，攻擊者需要知道已存在的用戶名，再對(duì)該用戶名進(jìn)行攻擊。所以，本測(cè)試用于確認(rèn)目標(biāo)服務(wù)器在處理登陸操作時(shí)會(huì)提示出具體的信息。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常存在登陸頁(yè)面執(zhí)行步驟在用戶名（或其他身份標(biāo)志）的輸入框中輸入noexists，口令任意若服務(wù)器返回提示類似于“用戶