常见的web安全性测试点Word格式文档下载.docx

常见的web安全性测试点Word格式文档下载.docx

《常见的web安全性测试点Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《常见的web安全性测试点Word格式文档下载.docx（9页珍藏版）》请在冰豆网上搜索。

　　过滤掉用户输入中的危险字符。

对输入数据进展客户端和程序级的校验〔如通过正则表达式等〕。

Eg:

对用户输入的地方和变量有没有做长度和对〞<

〞,〞>

〞,〞;

〞,〞’〞等字符是否做过滤

2.CSRF与跨站脚本（*SS）

CSRF与跨站脚本（*SS），是指请求迫使*个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进展所选择的行动。

　　同个浏览器翻开两个页面，一个页面权限失效后，另一个页面是否可操作成功

　　使用工具发送请求，在请求头中不参加referer字段，检验返回消息的应答，应该重新定位到错误界面或者登陆界面。

　修改建议：

　　在不同的会话中两次发送同一请求并且收到一样的响应。

这显示没有任何参数是动态的〔会话标识仅在cookie中发送〕，因此应用程序易受到此问题攻击。

因此解决的方法为

1.CookieHashing（所有表单都包含同一个伪随机值）：

2.验证码

3.One‐TimeTokens（不同的表单包含一个不同的伪随机值）客户端保护措施：

应用防止

CSRF攻击的工具或插件。

3.注入测试

SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终到达欺骗效劳器执行恶意的SQL命令。

　　在需要进展查询的页面，输入正确查询条件and1=1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，说明应用程序对用户输入未进展过滤，可以初步判断此处存在SQL注入漏洞

　　对用户的输入进展校验，可以通过正则表达式，或限制长度；

对以下关键字进展转换等;

|<

|alert|and|e*ec|e*ecute|insert|select|delete|update|count|drop|chr|mid|master|truncate|declare|sitename|netuser|*p_cmdshell|or|+|,|like'

|and|e*ec|e*ecute|insert|create|drop|table|from|grant|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|declare|or|--|+|,|like|//

　　不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进展数据查询存取;

　不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接;

　　应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进展包装。

4.登录认证测试

4.1暴力破解

　　暴力破解是目前最直接有效的攻击方式，特别对于金融业务来说，很多情况下口令都为6位纯数字，很容易被攻击。

本测试项在于检查认证系统对暴力破解的防护性。

　　测试方法：

　　启动抓包工具，同时翻开浏览器输入用户登录页面，输入用户名、密码以及验证码，进展登录，如果在抓包中存在明文的用户名和密码，说明存在弱点。

　　将请求方式从方式修改为S方式或者对输入的用户名和密码进展加密，在效劳端对密码进展验证

4.2代码注释

　　开发版本的Web程序所带有的注释在发布版本中没有被去掉，而导致一些敏感信息的泄漏。

我们要查看客户端能看到的页面源代码并发现此类平安隐患。

　　翻开登陆页面（或者待测试页面），点击浏览器，查看源代码，检查源代码注释局部是否有敏感信息泄露，敏感信息包括以下容：

字段文字描述、网IP地址、SQL语句以及物理路径等等。

　　修改建议：

　　请勿在HTML注释中遗留任何重要信息〔如文件名或文件路径〕。

　　从生产站点注释中除去以前〔或未来〕站点的跟踪信息。

　　防止在HTML注释中放置敏感信息。

　　确保HTML注释不包括源代码片段。

4.3用户名破解

　　为了进展暴力破解，攻击者需要知道已存在的用户名，再对该用户名进展攻击。

　　在登录界面输入不存在的用户名和任意的口令，如果提示用户名不存在，则说明存在漏洞；

使用正确的用户名和错误的口令进展登录，如果提示口令或密码错误，则说明存在漏洞。

　　效劳器对所有的登陆错误原因进展统一的应答，不会提示准确的错误提示信息。

4.4连续输错密码

在缺少锁定策略和验证码设计有问题的情况下，攻击者可以通过枚举的方式来进展暴力猜解。

　　在登录页面，输入正确的用户名、错误的口令以及正确的验证码，提交表单，重复10次，如果系统没有返回类似账号锁定的信息，则说明存在漏洞。

　　在用户进展错误登录次数到达系统配置后，需要对该账号或者该IP进展临时锁定，到达解锁条件后再进展解锁。

4.5　　查看是否有验证码机制，以及验证码机制是否完善，防止使用自动化工具重复登录和进展业务操作。

　　翻开登陆页面查看是否存在验证码，如果不存在说明存在漏洞。

　　输入正确的用户名和口令以及错误的验证码，如果只是提示验证码错误，则说明存在漏洞。

　　选择验证码，点击右键，验证码是图片形式且在一图片中，如果不是，则说明存在漏洞。

　　观察验证码图片中背景是否存在无规律的点或线条，如果背景为纯色〔例如只有白色〕说明存在漏洞。

　　将验证码生成放在在一进展了混淆处理的图片上。

4.6　修改密码是否需要输入旧口令

　　进入系统的口令修改界面，查看是否必须输入旧口令，如果不需要则存在漏洞。

　　用户修改密码时必须提供旧密码，且新密码不能与旧密码一样，密码要有一定复杂度，参见口令规则建议。

4.7默认账户名称设置

　　一般系统均设有默认登录用户，以及超级管理员账号，如登录账号过于简单将易被破解，造成超级权限泄露。

　　上线系统去除超级管理员权限用户，或增加超级管理员登录名复杂度，不要设置成易猜想的admin、superadmin等名称。

4.8错误的页面信息

404、500等错误或警告消息，可能会泄露敏感信息。

　　捕获异常跳转至统一错误页面，防止对外泄漏详细错误信息。

5.会话管理测试未更新

5.1会话标识测试

　　查看登录成功后会话标识是否变更。

如果未变更，则攻击者就可以通过一些手段〔如构造URL〕为受害着确定一个会话标识，当受害者登录成功后，攻击者也可以利用这个

　　会话标识冒充受害者访问系统。

　　启动抓包工具或浏览器自带开发者模式翻开登录页面，输入正确的用户名、口令以及验证码，进展登录，登录后，进展任意一项业务操作。

如果登录的SessionId和进展业务的SessionId没有变化，则说明存在漏洞。

　　对每次请求都从上次请求获得令牌，效劳端对每次交互都进展验证

　　查看是否存在浏览器窗口闲置超时后需重新登录的机制

5.2会话超时测试

　　翻开登录界面，输入正确的用户名和口令，进展登录，进展一项业务操作，将浏览器空闲超过30分钟，在进展其他业务操作，如果能够进展其他业务操作，则说明存在漏洞。

　　需要在后台进展配置Session的超时时间。

5.3会话去除测试

　　用户注销后会话信息需要去除，否则会导致用户在点击注销按钮之后还能继续访问注销之前才能访问的页面。

　　进入登录页面，输入正确的用户名和密码，登录成功后，进展一些业务操作，点击注销按钮，在浏览器输入地址，输入上面进展业务操作的地址，如果能够正常返回业务页面，则说明存在漏洞。

　　在用户注销后，必须将用户的Session信息以及缓存信息全部清空。

6其他

6.1文件目录测试

　　目录列表能够造成信息泄漏，而且对于攻击者而言是非常容易进展的。

所以在测试过程中，要注意目录列表漏洞。

测试方法：

　　通过浏览器访问web效劳器上的所有目录，检查是否返回目录构造，如果显示的是目录构造，则可能存在平安问题；

　　或使用DirBuster软件进展测试；

1.针对每个Directory域都使用Allow、Deny等指令设置，严格设定WEB效劳器的目录访问权限；

2.删除Options指令下的Inde*es设置项；

6.2文件上传漏洞

　　文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的，如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，攻击者可通过Web访问的目录上传任意文件，包括后门文件〔webshell〕，进而远程控制效劳器。

　　严格限制和校验上传的文件类型、大小等，制止上传恶意代码的文件。

同时限制相关目录的执行权限，防webshell攻击。

6.3请求方法测试

　　有些Web效劳器默认情况下开放了一些不必要的方法〔如DELETE、PUT、TRACE、MOVE、COPY〕，这样就增加了受攻击面。

　　使用SoapUI等工具，发送除get、post以外的方法请求，如接收应答为200ok，代表启用了不必要的方法。

　　在tomcatweb.*ml中增加如下容：

security-constraint>

web-resource-collection>

<

url-pattern>

/*<

/url-pattern>

-method>

PUT<

/-method>

DELETE<

HEAD<

OPTIONS<

TRACE<

/web-resource-collection>

auth-constraint>

/auth-constraint>

/security-constraint>

login-config>

auth-method>

BASIC<

/auth-method>

/login-config>

6.4效劳器平安策略

1.效劳器用户权限

　　运行Web效劳器的操作系统账号权限越高，则Web遭到攻击产生的危害就越大。

部署到生产环境运行时是不能用root等最高权限的，一切都给予以最小权限。

2.关闭无关端口

　　网络上被攻陷的大多数主机，是黑客用扫描工具大围进展扫描而被瞄准上的。

所以，为了防止被扫描到，除了必要的端口，例如Web、FTP、SSH等，其他的都应关闭。

　　如：

关闭icmp端口，并设置规则，丢弃icmp包。