文档章节

2019测试指南-web应用程序安全测试(二)查看信息泄漏的网页注释和元数据

猪鼻子插葱
 猪鼻子插葱
发布于 03/04 09:56
字数 888
阅读 24
收藏 0

程序员在源代码中包含详细的注释和元数据是非常常见的,甚至是推荐的。但是,HTML代码中包含的注释和元数据可能会泄露潜在攻击者无法获得的内部信息。应该进行评论和元数据审查,以确定是否泄露了任何信息。

 

测试目标

查看网页评论和元数据,以便更好地了解应用程序并查找任何信息泄漏。

 

如何测试

开发人员经常使用HTML注释来包含有关应用程序的调试信息。有时他们会忘记评论,并将其留在生产中。测试人员应该查找以“”开头的HTML注释。

 

黑盒测试

检查HTML源代码以获取包含敏感信息的注释,这些注释可以帮助攻击者更深入地了解应用程序。它可能是SQL代码,用户名和密码,内部IP地址或调试信息。

...

<div class =“table2”>
  <div class =“col1”> 1 </ div> <div class =“col2”> Mary </ div>
  <div class =“col1”> 2 </ div> <div class =“col2”> Peter </ div>
  <div class =“col1”> 3 </ div> <div class =“col2”> Joe </ div>

<! - 查询:SELECT id,name FROM app.users WHERE active ='1' - >

</ DIV>
...


测试人员甚至可能会发现这样的事情:

<! - 使用数据库管理员密码进行测试:f @ keP @ a $$ w0rD  - >


检查HTML版本信息以获取有效的版本号和数据类型定义(DTD)URL

<!DOCTYPE HTML PUBLIC“ -  // W3C // DTD HTML 4.01 // EN”“ http://www.w3.org/TR/html4/strict.dtd ”>
  • “strict.dtd” - 默认严格DTD
  • “loose.dtd” - 松散的DTD
  • “frameset.dtd” - 框架集文档的DTD


某些Meta标签不提供主动攻击向量,而是允许攻击者对应用程序进行概要分析

<META name =“Author”content =“Andrew Muller”>


某些Meta标记会更改HTTP响应标头,例如http-equiv,它根据元素的content属性设置HTTP响应标头,例如:

<META http-equiv =“Expires”content =“Fri,21 Dec 2012 12:34:56 GMT”>

这将导致HTTP标头:

到期日:2012年12月21日星期五12:34:56 GMT

<META http-equiv =“Cache-Control”content =“no-cache”>

会导致

缓存控制:无缓存

测试是否可以用于进行注射攻击(例如CRLF攻击)。它还可以帮助确定通过浏览器缓存的数据泄漏级别。

一个常见的(但不符合WCAG标准)Meta标签是刷新。

<META http-equiv =“刷新”内容=“15;网址= https://www.owasp.org/index.html ”>

Meta标签的一个常见用途是指定搜索引擎可用于提高搜索结果质量的关键字。

<META name =“keywords”lang =“en-us”content =“OWASP,security,sunshine,lollipops”>

虽然大多数Web服务器通过robots.txt文件管理搜索引擎索引,但它也可以通过Meta标签进行管理。下面的代码会建议机器人不要编制索引,也不要关注包含标记的HTML页面上的链接。

<META name =“robots”content =“none”> 

用于因特网内容选择的平台(PICS)和用于Web描述资源的协议(POWDER)提供用于将元数据与因特网内容相关联的基础结构。

 

灰盒测试

不适用。

 

工具

  • wget的
  • 浏览器“查看源”功能
  • 眼球
  • 卷曲

© 著作权归作者所有

猪鼻子插葱
粉丝 1
博文 44
码字总数 172746
作品 0
崇明
高级程序员
私信 提问
2019测试指南-web应用程序安全测试(二)进行搜索引擎发现和侦察信息泄露

搜索引擎发现和侦察有直接和间接的因素。直接方法涉及从缓存中搜索索引和相关内容。间接方法涉及通过搜索论坛,新闻组和招标网站来收集敏感的设计和配置信息。 一旦搜索引擎机器人完成了爬行...

猪鼻子插葱
03/04
10
0
2019测试指南-web应用程序安全测试(二)查看Web服务器图元文件的信息泄漏

本节介绍如何测试robots.txt文件以查找Web应用程序目录或文件夹路径的信息泄漏。此外,Spiders,Robots或Crawler要避免的目录列表也可以创建为应用程序的Map执行路径的依赖项(OTG-INFO-007)...

猪鼻子插葱
03/04
16
0
2019测试指南-web应用程序安全测试(二)识别应用程序入口点

在进行任何全面测试之前,枚举应用程序及其攻击面是一个关键的前提,因为它允许测试人员识别可能的弱点区域。本节旨在帮助识别和绘制应用程序中应在枚举和映射完成后应进行调查的区域。 测试...

猪鼻子插葱
03/04
33
0
2019测试指南-web应用程序安全测试(一)

什么是Web应用程序安全测试? 安全测试是通过有条不紊地验证和验证应用程序安全控制的有效性来评估计算机系统或网络的安全性的方法。Web应用程序安全性测试仅侧重于评估Web应用程序的安全性。...

猪鼻子插葱
03/04
54
0
2019测试指南-推导安全测试要求

获得安全测试要求 要获得成功的测试程序,必须知道测试目标是什么。这些目标由安全要求指定。本节详细讨论了如何通过从适用的标准和法规以及正面和负面的应用程序要求中获取安全测试的要求来...

猪鼻子插葱
03/04
12
0

没有更多内容

加载失败,请刷新页面

加载更多

面试官,Java8 JVM内存结构变了,永久代到元空间

在文章《JVM之内存结构详解》中我们描述了Java7以前的JVM内存结构,但在Java8和以后版本中JVM的内存结构慢慢发生了变化。作为面试官如果你还不知道,那么面试过程中是不是有些露怯?作为面试...

程序新视界
8分钟前
7
0
读书笔记:深入理解ES6 (八)

第八章 迭代器(Iterator)与生成器(Generator) 第1节 循环语句的问题   在循环、多重循环中,通过变量来跟踪数组索引的行为容易导致程序出错。迭代器的出现旨在消除这种复杂性,并减少循...

张森ZS
9分钟前
6
0
Elasticsearch 实战(一) - 简介

官腔 Elasticsearch,分布式,高性能,高可用,可伸缩的搜索和分析系统 基本等于没说,咱们慢慢看 1 概述 百度:我们比如说想找寻任何的信息的时候,就会上百度去搜索一下,比如说找一部自己喜...

JavaEdge
13分钟前
3
0
【jQuery基础学习】11 jQuery性能简单优化

本文转载于:专业的前端网站➦【jQuery基础学习】11 jQuery性能简单优化 关于性能优化 合适的选择器 $("#id")会直接调用底层方法,所以这是最快的。如果这样不能直接找到,也可以用find方法继...

前端老手
22分钟前
5
0
重磅发布 | 全球首个云原生应用标准定义与架构模型 OAM 正式开源

导读:2019 年 10 月 17 日,阿里巴巴合伙人、阿里云智能基础产品事业部总经理蒋江伟(花名:小邪)在 Qcon 上海重磅宣布,阿里云与微软联合推出开放应用模型 Open Application Model (OAM...

阿里云官方博客
24分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部