WEB安全測試培訓

WEB安全培訓

更多軟件測試資料盡在road軟件測試論壇/bbs/知己知彼，百戰(zhàn)不殆Contents用戶輸入1WEB程序安全問題2WEB服務器端安全問題3WEB應用掃描器4用戶的輸入所有用戶輸入都是非法的，除非被證明不是一半以上的程序安全問題源于缺乏對用戶可控數(shù)據(jù)的處理程序員如果本著人之初性本善的想法，那么寫的程序難免出問題

用戶輸入直接輸入GETPOSTCookieHTTP頭環(huán)境變量間接輸入數(shù)據(jù)庫取出的數(shù)據(jù)編碼的用戶數(shù)據(jù)WEB程序安全問題SQL注入跨站腳本UrlRedirect跳轉AccessControl越權訪問SQL注入SQL注入簡介拼接的SQL字符串改變了設計者原來的意圖，執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)據(jù)庫服務器拼接SQL字符串靈活方便，但是容易導致安全問題SQL注入SQL注入原理http://victim/news.php?id=3721select*fromnewswhereid=$idselect*fromnewswhereid=3721SQL注入利用利用示例http://victim/news.php?id=0unionselectname,pwfromusersselect*fromnewswhereid=$idselect*fromnewswhereid=0unionselectname,pwfromusersSQL注入的危害泄露敏感信息攻擊者可以獲取后臺數(shù)據(jù)庫的種類、版本，操作系統(tǒng)信息，數(shù)據(jù)庫名、表名、字段名以及數(shù)據(jù)庫中的數(shù)據(jù)信息泄露敏感信息無需知道口令就能以用戶身份登陸應用系統(tǒng)篡改敏感數(shù)據(jù)對數(shù)據(jù)庫進行增加、刪除、篡改的操作執(zhí)行任意系統(tǒng)命令利用數(shù)據(jù)庫支持的特定功能，執(zhí)行任意命令SQL注入的危害不同的數(shù)據(jù)庫，不同的數(shù)據(jù)庫配置，危害程度不一樣SQLServer默認配置并且使用sa帳號MySQL版本、數(shù)據(jù)庫root帳號、系統(tǒng)root用戶啟動服務SQL注入避免SQL注入過濾拼接字符串中的用戶數(shù)據(jù)，尤其不能忽視間接輸入數(shù)據(jù)的SQL語句拼接如果可能，使用其他方法代替SQL語句拼接使用WEB應用掃描器檢測程序相對比較明顯的SQL注入問題跨站腳本跨站腳本簡介跨站腳本(Cross-SiteScripting)是指遠程WEB頁面的html代碼可以插入具有惡意目的的數(shù)據(jù)，當瀏覽器下載該頁面，嵌入其中的惡意腳本將被解釋執(zhí)行，從而對客戶端用戶造成傷害。簡稱CSS或XSS不影響服務端程序，但影響客戶端跨站腳本請求：/?name=<script>alert(/XSS/)</script>展現(xiàn)：<html><body><p>Hello<script>alert(/XSS/)</script></p></body></html>跨站腳本危害竊取Cookiedocument.cookie頁面內容被篡改Js代碼改寫/跳轉頁面蠕蟲Myspace新浪微博惡意代碼跨站腳本防御顯示用戶數(shù)據(jù)時對“<>&”等HTML符號進行編碼轉換htmlspecialchars過濾必要的XHTML屬性及各種編碼，尤其在WEB提供樣式功能的時候設計時要考慮到關鍵內容不能由用戶的直接數(shù)據(jù)顯示，要有轉換或后臺間接審核的過程用WEB應用掃描器對程序進行檢測UrlRedirect跳轉UrlRedirect釣魚攻擊原理redirect.htm?target=URL跳轉攻擊QQQQ用戶URL跳轉攻擊UrlRedirect策略目標地址應限制跳轉到當前域內如果需要跳轉到外部鏈接需要有url的白名單AccessControlAccessControl攻擊例子(前臺代碼)<formaction="/message/pmsg/read.html"method="post"><inputtype="hidden"name="messageId"value="54981193"><inputtype="button"name="delete"value="刪除留言"onClick="delMessage()">AccessControlAccessControl攻擊例子(后臺代碼)publicbooleancanManageMssage(){if(isAdmin()){returntrue;}……}檢查了角色但是短消息屬于用戶，不屬于角色AccessControlAccessControl安全策略權限框架SQL語句條件Cookie的安全簡介Cookie是Netscape的一個重大發(fā)明，當用戶訪問網(wǎng)站時，它能夠在訪問者的機器保存一段信息，可以用來標識各種屬性。當用戶再次訪問這個網(wǎng)站的時候，它又能夠讀出這些信息，這樣WEB程序就能知道該用戶上次的操作Cookie大大提高了用戶體驗，被廣泛使用Cookie的安全Cookie的欺騙Cookie是純客戶端數(shù)據(jù)，非常容易偽造文件型的Cookie可以直接改瀏覽器的Cookie文件通過curl或firefox的LiveHTTPHeaders插件可以輕松偽造各種類型的Cookie數(shù)據(jù)Cookie的安全使用Cookie時應注意的問題盡量不要用Cookie明文存儲敏感信息數(shù)據(jù)加密后保存到客戶端的Cookie為Cookie設置適當?shù)挠行r間WEB服務器端安全問題合理的文件權限設置取消WEB用戶對apache日志的讀權限nobody有寫權限的WEB目錄取消解析權限WEB服務器端安全問題信息泄露服務器版本信息泄露運行環(huán)境遺留測試文件phpinfo.phpconn.asp.bak程序出錯泄露物理路徑程序查詢出錯返回SQL語句過于詳細的用戶驗證返回信息WEB應用掃描器AppScan非常專業(yè)的商業(yè)WEB應用掃描器功能強大，準確率高，尤其是跨站腳本和SQL注入的檢測掃描速度較慢