欢迎来到天天文库
浏览记录
ID:40390515
大小:242.61 KB
页数:35页
时间:2019-08-01
《安全性测试初步接触》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、初步分类:权限(黑盒+sql注入+目录遍历+非法文件与文字上传与写入)加密(网络传输、本地cookie、源文件、认证与会话)攻击(缓冲区溢出、sql注入、异常处理信息、端口扫描、服务器攻击、跨站脚本攻击、http回车换行注入攻击、代码注入、url重定向、google攻击)理论篇做的比较粗糙,大家在这块有什么可以交流下,消逝黑盒主要测试点用户管理模块,权限管理模块,加密系统,认证系统等工具使用Appscan(首要)、AcunetixWebVulnerabilityScanner(备用)、HttpAnalyzerFull、TamperIESetup木桶原理安全性最低的模块将成为瓶颈,需
2、整体提高他人模型(虽然比较旧了)安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全访问控制数据机密性数据完整性用户认证防抵赖安全审计网络安全层次层次模型网络安全技术实现安全目标用户安全(一)可手工执行或工具执行输入的数据没有进行有效的控制和验证用户名和密码直接输入需要权限的网页地址可以访问上传文件没有限制(此次不需要)不安全的存储操作时间的失效性1.1)输入的数据没有进行有效的控制和验证数据类型(字符串,整型,实数,等)允许的字符集最小和最大的长度是
3、否允许空输入参数是否是必须的重复是否允许数值范围特定的值(枚举型)特定的模式(正则表达式)(注:建议尽量采用白名单)1.21)用户名和密码-1检测接口程序连接登录时,是否需要输入相应的用户是否设置密码最小长度(密码强度)用户名和密码中是否可以有空格或回车?是否允许密码和用户名一致防恶意注册:可否用自动填表工具自动注册用户?(傲游等)遗忘密码处理有无缺省的超级用户?(admin等,关键字需屏蔽)有无超级密码?是否有校验码?1.22)用户名和密码-2密码错误次数有无限制?大小写敏感?口令不允许以明码显示在输出设备上强制修改的时间间隔限制(初始默认密码)口令的唯一性限制(看需求是否需要)
4、口令过期失效后,是否可以不登陆而直接浏览某个页面哪些页面或者文件需要登录后才能访问/下载cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息1.3)直接输入需要权限的网页地址可以访问避免研发只是简单的在客户端不显示权限高的功能项举例Bug:没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面;注销后,点浏览器上的后退,可以进行操作。正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。通过Http抓包的方式获取Http请求信息包经改装后重新发送从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面,这就
5、是错误的)1.4)上传文件没有限制(此次不需要)上传文件还要有大小的限制。上传木马病毒等(往往与权限一起验证)上传文件最好要有格式的限制;此次我们不需要验证此处,简单介绍下,跳过1.5)不安全的存储在页面输入密码,页面应显示“*****”;数据库中存的密码应经过加密;地址栏中不可以看到刚才填写的密码;右键查看源文件不能看见刚才输入的密码;帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号1.6)操作时间的失效性检测系统是否支持操作失效时间的配置,同时达到所配置的时间内没有对界面进行任何操作时,检测系统是否会将用
6、户自动失效,需要重新登录系统。支持操作失效时间的配置。支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。如,用户登陆后在一定时间内(例如15分钟)没有点击任何页面,是否需要重新登陆才能正常使用。(二)借助工具或了解后手工来进行测试不能把数据验证寄希望于客户端的验证不安全的对象引用,防止XSS攻击注入式漏洞(SQL注入)传输中与存储时的密码没有加密,不安全的通信目录遍历2.1)不能把数据验证寄希望于客户端的验证避免绕过客户端限制(如长度、特殊字符或脚本等),所以在服务器端验证与限制客户端是不安全,重要的运算和算法不要在客户端运行。Session与cookie例:保存网
7、页并对网页进行修改,使其绕过客户端的验证。(如只能选择的下拉框,对输入数据有特殊要求的文本框)还可以查看cookie中记录,伪造请求测试中,可使用TamperIESetup来绕过客户端输入框的限制2.21)不安全的对象引用,防止XSS等攻击阻止带有语法含义的输入内容,防止CrossSiteScripting(XSS)Flaws跨站点脚本攻击(XSS)防止Cross-siterequestforgery(CSRF)跨站请求伪造xss解释:不可信的内容被引入到动态页面中,
此文档下载收益归作者所有