安全性测试初步接触.ppt

初步分类： 权限 （黑盒+sql注入+目录遍历+非法文件与文字上传与写入） 加密 （网络传输、本地cookie、源文件、认证与会话） 攻击 （缓冲区溢出、sql注入、异常处理信息、端口扫描、服务器攻击、跨站脚本攻击、http回车换行注入攻击、代码注入、url重定向、google攻击） 做的比较粗糙，大家在这块有什么可以交流下， 消逝 黑盒主要测试点 用户管理模块，权限管理模块，加密系统，认证系统等 工具使用 Appscan（首要）、Acunetix Web Vulnerability Scanner（备用）、HttpAnalyzerFull、TamperIESetup 木桶原理 安全性最低的模块将成为瓶颈，需整体提高 他人模型（虽然比较旧了） （一）可手工执行或工具执行 输入的数据没有进行有效的控制和验证 用户名和密码 直接输入需要权限的网页地址可以访问 上传文件没有限制（此次不需要） 不安全的存储 操作时间的失效性 1.1）输入的数据没有进行有效的控制和验证 数据类型（字符串，整型，实数，等） 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否允许 数值范围 特定的值（枚举型） 特定的模式（正则表达式）（注：建议尽量采用白名单） 1.21）用户名和密码-1 检测接口程序连接登录时，是否需要输入相应的用户 是否设置密码最小长度（密码强度） 用户名和密码中是否可以有空格或回车？ 是否允许密码和用户名一致 防恶意注册：可否用自动填表工具自动注册用户？ （傲游等） 遗忘密码处理 有无缺省的超级用户?（admin等，关键字需屏蔽） 有无超级密码? 是否有校验码？ 1.22）用户名和密码-2 密码错误次数有无限制？ 大小写敏感？ 口令不允许以明码显示在输出设备上 强制修改的时间间隔限制（初始默认密码） 口令的唯一性限制（看需求是否需要） 口令过期失效后，是否可以不登陆而直接浏览某个页面 哪些页面或者文件需要登录后才能访问/下载 cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息 1.3）直接输入需要权限的网页地址可以访问 避免研发只是简单的在客户端不显示权限高的功能项 举例Bug： 没有登录或注销登录后，直接输入登录后才能查看的页面的网址（含跳转页面），能直接打开页面； 注销后，点浏览器上的后退，可以进行操作。 正常登录后，直接输入自己没有权限查看的页面的网址，可以打开页面。 通过Http抓包的方式获取Http请求信息包经改装后重新发送 从权限低的页面可以退回到高的页面（如发送消息后，浏览器后退到信息填写页面，这就是错误的） 1.4）上传文件没有限制（此次不需要） 上传文件还要有大小的限制。 上传木马病毒等（往往与权限一起验证） 上传文件最好要有格式的限制； 此次我们不需要验证此处，简单介绍下，跳过 1.5）不安全的存储 在页面输入密码，页面应显示 “*****”； 数据库中存的密码应经过加密； 地址栏中不可以看到刚才填写的密码； 右键查看源文件不能看见刚才输入的密码； 帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号 1.6）操作时间的失效性 检测系统是否支持操作失效时间的配置，同时达到所配置的时间内没有对界面进行任何操作时，检测系统是否会将用户自动失效，需要重新登录系统。 支持操作失效时间的配置。 支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。 如，用户登陆后在一定时间内（例如15 分钟）没有点击任何页面，是否需要重新登陆才能正常使用。 （二）借助工具或了解后手工来进行测试 不能把数据验证寄希望于客户端的验证 不安全的对象引用，防止XSS攻击 注入式漏洞（SQL注入） 传输中与存储时的密码没有加密 ，不安全的通信 目录遍历 2.1）不能把数据验证寄希望于客户端的验证 避免绕过客户端限制（如长度、特殊字符或脚本等），所以在服务器端验证与限制 客户端是不安全，重要的运算和算法不要在客户端运行。 Session与cookie 例：保存网页并对网页进行修改，使其绕过客户端的验证。 （如只能选择的下拉框，对输入数据有特殊要求的文本框） 还可以查看cookie中记录，伪造请求 测试中，可使用TamperIESetup来绕过客户端输入框的限制 2.21）不安全的对象引用，防止XSS等攻击 阻止带有语法含义的输入内容，防止Cross Site Sc