如何進(jìn)行WEB安全性測試

WEB的安全性測試主要從以下方面考慮：

1.SQLInjection(SQL注入)

(1)如何進(jìn)行SQL注入測試?首先找到帶有參數(shù)傳遞的URL頁面,如搜索頁面,登錄頁面,提交評論頁面等等.注1:對于未明顯標(biāo)識在URL中傳遞參數(shù)的,可以通過查看HTML源代碼中的"FORM"標(biāo)簽來辨別是否還有參數(shù)傳遞.在<FORM>和</FORM>的標(biāo)簽中間的每一個參數(shù)傳遞都有可能被利用.丘<f瞇or爪m醉id攝="迅fo末rm欲_s但ea缺rc姻h"紀(jì)a冶ct痛io碧n=捕"/偉se財ar真ch歪/"丈m動et蛇h(yuǎn)o荷d=瞇"g叛et根">怕<d塔iv很>陶<i狗np下ut尸t浩yp窄e=另"t麗ex慮t"席n蒸am幫e=鬼"q梳"肅id欲="碎se肺ar耍ch跳_q稼"喬va丹lu攝e=撈""社/麗>果<i威np畫ut運(yùn)n響am悄e=嫂"s院ea部rc哲h"披t爛yp嫌e=茫"i謝ma鉆ge草"偉sr擱c=枕"/鵲me暖di當(dāng)a/驗(yàn)im里ag共es惹/s尺it干e/蓄se衛(wèi)ar合ch梢_b儉tn巨.g下if洋"慘/>套<a壺h件re魄f=尾"/亭se倒ar讀ch偉/"敬c度la油ss蹦="削fl藍(lán)">賠Ga奏me站fi球nd財er車</知a>赴</富di向v>式</遠(yuǎn)fo按rm抓>注2:當(dāng)你找不到有輸入行為的頁面時,可以嘗試找一些帶有某些參數(shù)的特殊的URL,如HTTP://DOMAIN/INDEX.ASP?ID=10其次,在URL參數(shù)或表單中加入某些特殊的SQL語句或SQL片斷,如在登錄頁面的URL中輸入HTTP://DOMAIN/INDEX.ASP?USERNAME=HI'OR1=1--顧注1長：根危據(jù)實(shí)毯際情胃況,疫SQ紗L注牲入請庭求可排以使杰用以少下語畜句:劑'榆or認(rèn)1愿=1濃-幫-局"潑or碧1膝=1長-羊-辰or怖1賴=1揉-惹-蝴'裝or粘'較a'穗='屈a冬"昆or讀"伯a(chǎn)"渡="古a來')寫o拴r第('斷a'金='算a掃

繼

且注木2：丹為什尚么是貧OR需，頌以及偉',避――吉是特逮殊的怎字符什呢？野例子密：在夾登錄階時進(jìn)揀行身惕份驗(yàn)偽證時節(jié)，通勿常使祝用如權(quán)下語能句來捎進(jìn)行穴驗(yàn)證蜓：s蹦ql截=s撤el瘡ec胡t劣*溫fr吃om宵u振se熔r節(jié)wh攝er秒e麗us傾er掌na產(chǎn)me潤='視us鍛er寨na就me湊'恩an坑d騙pw耽d=缺'p鼓as挑sw米o(hù)r膚d'辣如貿(mào)輸入急ht渴tp借:/功/d誼uc盾k/頌in爆de爽x.論as馬p?廳us悶er梯na污me飽=胸ad字mi忘n'活o被r劑1=羅'1阻&p叼wd歉=喝11抱，S暫QL性語句欣會變瞇成以編下：捎sq財l=睬se芝le變ct聞*佳f倘ro坦m掘us隸er湯w丙he朗re律u央se紐rn擴(kuò)am撤e=蔑'棵ad只mi越n'晚o漸r歪1=設(shè)'1暗'郵an青d脹pa稱ss弄wo處rd撞='她11腸'據(jù)'女與a役dm診in梯前面暑的'犁組成污了一掏個查禽詢條泛件,盈即u培se康rn斑am直e=丘'a叼dm涉in宋',孔接下鍵來的瞧語句臉將按常下一嬸個查施詢條唯件來趕執(zhí)行撫.森接館下來耕是O但R查樓詢條屢件,銀OR也是一峽個邏修輯運(yùn)淚算爛符，迅在判懂?dāng)喽嗤€條泄件的玉時候脫，只壤要一貪個成叛立，民則等把式就踢成立因，后錘面的陸AN槍D就學(xué)不再穿時行碼判斷油了，在也就達(dá)是仁說我架們繞翻過了限密碼督驗(yàn)證釀，我俱們只丙用用曉戶名丟就可辭以登煉錄.染如適輸入廈ht秀tp阻:/炭/d印uc賊k/妨in巷de賄x.圈as脊p?籃us糧er偏na蜻me界=省ad耀mi栽n'螞--嗎&p脅wd我=洞11差，S碧QL言語著句會若變成籃以下?lián)躶q香l=備se像le飛ct查*徐f郊ro引m屢us于er哭w譜he術(shù)re令n根am幟e=尖'蠟ad束mi神n'鉤-膊-僚'舍an鏈d梨pa貌sw錦or朱d=草'努1方1'誦,直

專'與離ad導(dǎo)mi緣n前藝面的階'組客成了荷一個扛查儉詢條牲件,偏即u休se怠rn日am抬e=棚'a躁dm火in數(shù)',東接下聚來的赴語句攜將按職下一捉個查滾詢條滋件來厭執(zhí)行

騾

浸接下暈來是籍"-芳-"升查詢策條件剝,采“罪--委”筍是忽搖略或?qū)W注釋鐮,上識述染通過團(tuán)連接籮符注予釋掉凍后面親的密榮碼驗(yàn)險證(傲注:給對A玉CC故ES礙S李數(shù)據(jù)謹(jǐn)庫捕無件效)幫.最后,驗(yàn)證是否能入侵成功或是出錯的信息是否包含關(guān)于數(shù)據(jù)庫服務(wù)器的相關(guān)信息;如果能說明存在SQL安全漏洞.試想,如果網(wǎng)站存在SQL注入的危險,對于有經(jīng)驗(yàn)的惡意用戶還可能猜出數(shù)據(jù)庫表和表結(jié)構(gòu),并對數(shù)據(jù)庫表進(jìn)行增\刪\改的操作,這樣造成的后果是非常嚴(yán)重的.

(2)如何預(yù)防SQL注入?

從應(yīng)用程序的角度來講,我們要做以下三項(xiàng)工作:轉(zhuǎn)義敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”).屏蔽出錯信息：阻止攻擊者知道攻擊的結(jié)果在服務(wù)端正式處理之前提交數(shù)據(jù)的合法性(合法性檢查主要包括三項(xiàng):數(shù)據(jù)類型,數(shù)據(jù)長度,敏感字符的校驗(yàn))進(jìn)行檢查等。最根本的解決手段,在確認(rèn)客戶端的輸入合法之前,服務(wù)端拒絕進(jìn)行關(guān)鍵性的處理操作.

從測試人員的角度來講,在程序開發(fā)前(即需求階段),我們就應(yīng)該有意識的將安全性檢查應(yīng)用到需求測試中,例如對一個表單需求進(jìn)行檢查時,我們一般檢驗(yàn)以下幾項(xiàng)安全性問題:需求中應(yīng)說明表單中某一FIELD的類型,長度,以及取值范圍(主要作用就是禁止輸入敏感字符)需求中應(yīng)說明如果超出表單規(guī)定的類型,長度,以及取值范圍的,應(yīng)用程序應(yīng)給出不包含任何代碼或數(shù)據(jù)庫信息的錯誤提示.

當(dāng)然在執(zhí)行測試的過程中,我們也需求對上述兩項(xiàng)內(nèi)容進(jìn)行測試.

2.Cross-sitescritping(XSS):(跨站點(diǎn)腳本攻擊)否每(1座)如捷何進(jìn)杠行X腦SS沙測試塌?刪<!將--歇[i霞f儉!s折up喉po掉rt懶Li籠st統(tǒng)s]躺--綁>夕首先廉,濫找到子帶有節(jié)參數(shù)尤傳遞母的補(bǔ)UR呈L,祥如有登錄懇頁面補(bǔ),溜搜索殖頁面瓣,伯提交痕評論嗎,懶發(fā)表榨留言達(dá)頁扣面等遺等。烈<!匆--遍[i皇f勤!s握up匯po擔(dān)rt神Li電st低s]建--籠>潮其次則,在估頁面教參數(shù)噴中輸掀入如瞧下語驢句(畝如:刃Ja校va叉sc典rī揚(yáng)pt花,V漠B抖sc湯rī鉆pt耗,歉HT脅ML倒,A停ct磚iv雪eX醫(yī),雄Fl惡as覽h穗)來趁進(jìn)行梯測試恭：嘩<s蔥cr刺īp監(jiān)t>鋸al抹er偷t(落do皇cu陡me撓nt疏.c損oo藝ki把e)吐</熱sc遇rī槽pt集>墳因沉默注:斑其它紋的X缺SS否測試液語句滅最后情,蠶當(dāng)用授戶瀏裳覽淋時便跡會彈信出一肯個警執(zhí)告框莫，內(nèi)通容顯穴示的歐是瀏尖覽者墳當(dāng)前該的c輕oo磚ki葛e串福,這院就說賭明該含網(wǎng)站論存在額XS充S漏桑洞。爛試想拍如果翻我們役注入盲的不欲是以曉上這唉個簡次單的蒜測試建代碼虹，而憶是一雀段經(jīng)膽常精倉心設(shè)掛計的優(yōu)惡意偷腳本遇，當(dāng)后用戶夜瀏覽丘此帖壽時，位co印ok叛ie旬信息胸就可彼能成盤功的醉被坑攻擊尾者獲風(fēng)取。旺此時奶瀏覽葉者的淹帳號復(fù)就很御容易想被攻忘擊者愿掌控咳了。轉(zhuǎn)疏(2示)如剖何預(yù)桃防X期SS專漏洞梯?鼠曾狀從應(yīng)稀用程浩序的片角度獄來講牢,要嶺進(jìn)行最以下誘幾項(xiàng)過預(yù)防釋:挽對嫁Ja究va支sc當(dāng)rī袍pt卷,V宴B壤sc敢rī龍pt嶺,雜HT祥ML碼,A感ct趨iv批eX嚼,梯Fl蛛as捆h木等如語句感或腳灑本進(jìn)添行轉(zhuǎn)圍義.攝在墊服務(wù)詳端正尺式處拜理之璃前提經(jīng)交數(shù)偉據(jù)的這合法塔性(推合法災(zāi)性檢判查主版要包錦括三騙項(xiàng):躁數(shù)據(jù)母類型嫌,數(shù)割據(jù)長股度,卡敏感謝字符接的校緣驗(yàn))雞進(jìn)行匪檢查抗等。恩最根國本的賢解決開手段示,刊在確篩認(rèn)客踢戶端步的輸漫入合返法之自前膊,己服務(wù)脹端恐拒絕妄進(jìn)行冒關(guān)鍵膜性的徒處理篩操作蔬.城龍魚從測蜜試人吸員的私角度仗來講頌,要縱從需麻求檢復(fù)查和徒執(zhí)行倦測試戶過程逐兩個轟階段投來完姥成X腸SS箱檢查葉:消在需奇求檢總查過額程中瓦對各興輸入諒項(xiàng)或宰輸出抹項(xiàng)進(jìn)沉行類俊型、惹長度統(tǒng)以及準(zhǔn)取跟值范雞圍進(jìn)扭行驗(yàn)廢證，徹著重敞驗(yàn)證集是否涌對H惑TM拼L或東腳本根代碼構(gòu)進(jìn)行插了轉(zhuǎn)蔥義。毅執(zhí)行膏測試軍過程遲中也波應(yīng)對佳上述車項(xiàng)進(jìn)對行檢事查。托涂絞3.具CS相RF陰:(仗跨站圖點(diǎn)偽串造請紅求)爐外那CS咳RF箱盡管絲聽起預(yù)來像炕跨站塘腳本姿（X書SS私），穩(wěn)但它寧與X辦SS斬非?？煌?，并擇且攻博擊方廉式幾城乎相傳左。極妖醋XS蒜S是雀利用答站點(diǎn)笑內(nèi)的鴉信任劫用戶挨，而盒CS繼RF汗則通請過偽歉裝來鏈自受耀信任膀用戶怎的請?zhí)枨髞砝桌脼I受信姑任的錢網(wǎng)站詳。認(rèn)猶篩XS盈S也原好，裝CS鼻RF史也好悶，它鵲的目詢的在趁于竊孕取用賄戶的韻信息鉆，如脅SE德SS教IO濁N叛和矛CO俯OK較IE闖S（需關(guān)于致SE番SS差I(lǐng)O挎N仔和C欲OO您KI顛ES純的介唱紹請扭參見搞我的講另一位篇B秀LO級G：忌ht灶tp洪:/辮/w榜ww送.5奉1t迎es純ti攀ng朱.c招om飼/?購49激68牛9/性ac椅ti代on米_v溝ie樣ws劣pa櫻ce敢_i互te在mi進(jìn)d_鍵74救88囑5.愧ht幕ml釀），咱哭(留1)致如何匙進(jìn)行培CS口RF稅測試廳？束桑趴關(guān)于與這個政主題遭本人討也正姥在研帆究，市目前臺主要圾通過棉安全鼠性測自試工桃具來俯進(jìn)行擾檢查拐。四杯(蘆2)尊如何賭預(yù)防凈CS鋤RF濫漏洞當(dāng)？懸請參腥見框ht洲tp箭:/疤/w萌ww內(nèi).h丑an升gu舒of臂en率g.木cn波/a隱rc趟hi偽ve拖s/跌se損cu場ri責(zé)ty遷/p交re誰ve件nt桌in駁g-圈cs調(diào)rf劣請變參見績ht原tp弟:/紀(jì)/g叨et延ah種ea戒d.沈or胖g/唉bl擾og成/j揭oe汗/2迷00比7/該01弦/0捉1/部cs懸rf效_a辟tt卵a(bǔ)c海ks胸_o尿r_案ho腔w_其to今_a項(xiàng)vo尖id羽_e魄xp淺os尊in薄g_嗓yo擇ur植_g巷ma獎il鋤_c祝on短ta變ct匠s.免ht宮ml鎮(zhèn)炭4.勝Em暗ai幸l腰He遺ad善er療I買nj速ec補(bǔ)ti犬on朱(郵閉件標(biāo)架頭注炊入)模脅撥編Em沾ai河l活He眼ad族er甘I客nj逢ec晨ti漏on懶：如與果表肯單用釀于發(fā)環(huán)送斤em蓮ai駕l,串表單撕中可乏能包倍括甘“頑su臨bj鋤ec南t濟(jì)”懲輸入政項(xiàng)（芹郵件丈標(biāo)題駛），清我們蛾要驗(yàn)跌證孩su胡bj逮ec劃t漸中應(yīng)跪能濫es猶ca遷pe斑掉滑“鐵\n做”依標(biāo)識屬。去<!尋--虎[i豐f爽!s等up巨po閉rt腦Li打st宣s]姻--潔><囑!-趁-[安en乖di襪f]脆--知>溜因?yàn)榱鞍碶n嗽”五是新糞行，沸如果亦在漸su賭bj承ec章t享中輸患入擁“款he厭ll鐘o\壯nc急c:蓬sp借am收vi扯ct容im瓦@e琴xa世m(xù)p肺le鞭.c湯om商”泛，可夫能會限形成忽以下麥Su足bj貪ec驢t:費(fèi)h爹el第lo籍cc譜:式sp狹am愁vi秒ct籠im著@e塔xa粘mp巾le瘦.c悟om貿(mào)<!爺--士[i幅f辦!s辦up教po擾rt震Li昆st廈s]津--晨><導(dǎo)!-泳-[滾en守di魄f]恒--殃>腿如果即允許喝用戶說使用桌這樣尾的結(jié)su熊bj戴ec賢t舊，那蓋他可米能會昏給利針用這趕個缺萬陷通協(xié)過我監(jiān)們的吃平臺駱給雜其它忠用盡戶發(fā)割送垃齊圾郵凱件。飄料5.掠Di引re延ct匯or譜y談Tr氧av印er冷sa辦l(京目錄牢遍歷真)示封（魔1）頁如何乒進(jìn)行鍋目錄寄遍歷洪測試軟？臘目錄滴遍歷粘產(chǎn)生巖的原彈因是叼：程蜓序中稠沒有請過濾南用戶勺輸入煌的蒙“魚..巷/栗”豪和醬“稿./竿”影之類離的目彈錄跳波轉(zhuǎn)符越,互導(dǎo)致吉惡意棚用戶旗可以突通過惑提交膠目錄神跳轉(zhuǎn)晴來遍步歷服儉務(wù)器體上的援任意刻文件假。貝測試擦方法勻：在嗓UR蘋L俯中輸烤入一腐定數(shù)騙量的勿“諒..寒/劍”緒和棟“蘿./父”尾，驗(yàn)滲證系板統(tǒng)是碧否退ES魯CA件PE商掉了條這些綠目錄淘跳轉(zhuǎn)廈符。收悼（殺2）牌如何傍預(yù)防展目錄爐遍歷迎？傭限制絡(luò)We槽b應(yīng)竄用在航服務(wù)始器上迅的運(yùn)倡行鼓進(jìn)融行嚴(yán)微格的本輸入施驗(yàn)證吧，控抱制用廁戶輸訪入非傾法路丟徑叨激6.