文档章节

web安全测试必须注意的五个方面

宜信技术学院
 宜信技术学院
发布于 07/18 10:41
字数 1987
阅读 661
收藏 12

随着互联网的飞速发展,web应用在软件开发中所扮演的角色变得越来越重要,同时,web应用遭受着格外多的安全攻击,其原因在于,现在的网站以及在网站上运行的应用在某种意义上来说,它是所有公司或者组织的虚拟正门,所以比较容易遭受到攻击,存在安全隐患。

今天主要给大家分享下有关安全测试的一些知识点以及注意事项。

一、安全测试的验证点

一个系统的安全验证点包括上传功能、注册功能/登陆功能、验证码功能、密码、敏感信息泄露、越权测试、错误信息、session等。

1、上传功能

  • 上传中断,程序是否有判断上传是否成功

  • 上传与服务器端语言(jsp/asp/php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行

2、注册功能/登陆功能

  • 请求是否安全传输

  • 重复注册/登陆

  • 关键cookie是否httponly

  • 会话固定:利用session的不变机制,获取他人认证和授权,然后冒充

3 、验证码功能

  • 短信轰炸

  • 验证码一次性

4、 忘记密码

  • 通过手机号/邮箱找回

  • 程序设计不合理,导致可以绕过短信验证码,从而进行修改(使用burpsuite抓包,修改响应值true)

5 、敏感信息泄漏

  • 数据库/日志/提示

6 、越权测试

  • 不登陆系统,直接输入下载文件的URL是否可以下载/直接输入登录后页面的URL是否可以访问

  • 手动更改URL中的参数值能否访问没有权限访问的页面

  • 不同用户之间session共享,可以非法操做对方的数据

7 、错误信息

  • 错误信息中释放含有sql语句,错误信息以及web服务器的绝对路径

8、 Session

  • 退出登陆后,点击后退按钮是否能访问之前的页面

主要归结为以下几点:(后期可以优化成一个安全测试的框架结构)

  • 部署与基础结构
  • 输入验证
  • 身份验证
  • 授权
  • 配置管理
  • 敏感数据
  • 会话管理
  • 加密
  • 参数操作
  • 异常管理
  • 审核和日志安全,

二、结合实际情况(现有系统)发现的问题

1、日志/提示

在系统的初期,一般比较容易发现的问题就是在进行一些错误或者反向测试时,在页面的提示中会出现带有明显的数据库的表或者字段的打印,或者会出现一些敏感词,日志里面类似密码,卡号,身份证号没有相应的明密文转换,而这些敏感词/明密文不互转的存在,就会导致攻击者能够获取到,从而进行简单粗暴的攻击,轻易的攻击服务器或者数据库,这就会危害到整个系统!

2、重复性

大部分的web网站都会有注册功能,而类似我们负责支付这块也都会有开户,就注册跟开户,基本上需求上都会有唯一性的校验,在前端就会进行拦截,但如果使用jmter进行参数以及参数值的新增,有可能新增成功,就会导致页面系统里面会出现相同数据,可能导致整个功能的出错。

3、次数限制

类似发单,登录或者短信,如果没有进行相应的限制,如短信,没有进行限制次数,攻击者就会通过短信轰炸,攻击系统,导致系统瘫痪,其他客户就会使用不了该系统。

4、越权测试

(基本上大部分系统都没有明确的写出越权方面的需求)一个web系统,一般地址栏都会有参数的带入,如:用户号,订单号或者是其他的一些参数,而在这个基础上一个系统都会有很多用户,或者很多等级,如:A大于B大于C,那我使用C用户进行登录,查看C用户所属的订单,在地址栏中会有订单号的参数带入,如果系统没有进行相应的限制,此时C用户就可以修改订单号从而可以看到B乃至A用户的数据,这就可能导致数据的泄露,再者,如果可以修改用户的用户号,没有做处理,这样就可以对所有数据进行操作,整个系统就乱了,影响很大。

5、SQL注入/XSS攻击

主要是输入框的校验/拦截以及是否转义,如果没有系统没有对输入的内容进行处理,那攻击者就可以输入一段SQL语句,或者一段代码,在后台进入到相应的功能,就会导致整个功能是错乱的,其他正常用户所提交的数据也查看操作不了,或者提交的代码是死循环(">),就会关闭不掉,所以这点是非常重要的。

基本上上述的五点都是在测试中,系统真实存在,发生的问题,还有其他问题就不一一例举了,其中越权跟SQL注入以及XSS攻击都是重中之重!

三、克服的小困难

上面所述的都是需要人工进行手动参与,且人力操作时不会那么饱满全面,所以这是一个遇到的小问题。现在有一个针对web系统进行漏洞扫描的工具:AWVS,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,针对漏洞主要分为四个等级:高危、中危,低危以及优化,它会进行内外链接的安全性,文件是否存在以及传输是否安全,也包含SQL注入跟XSS攻击,输入地址,用户名密码后,进行扫描完成后会展示相应的数据:漏洞的数量,漏洞的描述,建议性的修复;扫描网站的时长,文件数据量,环境信息等,较为全面!

四、安全测试的思路跟框架

主要根据以下六点来实现一个较为完整的安全测试的思路,框架就是根据半手工、半自动来实现整个系统的验证。

  • 部署与基础结构
  • 输入验证
  • /身份验证(权限验证)
  • 敏感数据
  • 参数操作
  • 审核和日志安全;

五、目前存在的问题/需要优化的

现在的安全测试大多是半手工、半自动化,但都不是专业级,所以还在摸索阶段,只能尽可能地去发现系统中存在的漏洞,且测试理论很难适用于安全领域;

安全测试基础理论薄弱,当前测试方法缺少理论指导,也缺乏更多的技术产品工具 ;

安全测试需要对系统所采用的技术以及系统的架构等进行分析,这方面也是较为薄弱的环节!

作者:王鹏飞

来源:宜信技术学院

7月25日晚8点,线上直播,【AI中台——智能聊天机器人平台】,点击了解详情。

© 著作权归作者所有

宜信技术学院

宜信技术学院

粉丝 170
博文 124
码字总数 416483
作品 4
东城
私信 提问
加载中

评论(1)

塔寨村妇女主任
非专业的安全公司,一般公司内部做到这样就差不多了
五个常见的Web应用漏洞及其解决方法

开放Web应用安全项目(OWASP)很快会发布今年的10大Web应用安全漏洞清单。这个清单与去年并没有太大差别,这表明负责应用设计与开发的人仍然没能解决以前那些显而易见的错误。许多最常见的Web...

sosg
2013/09/26
228
0
研究人员:去年每一次的ICO平均有五个漏洞

  根据安全研究人员的调查发现,在去年每一次的加密货币ICO(首次币发行)都平均包含五个安全漏洞,其中只有一次ICO不包含任何严重的安全漏洞。根据Positive.com提供的信息,其中的大部分漏...

FreeBuf
2018/07/08
0
0
linux 系统防火墙知识学习

防火墙分为硬件的或者软件的防火墙两种。无论是在哪个网络中,工作于网络的边缘。我们的任务就是需要去定义到底防火墙安全策略、规则,以达到让它对出入网络的IP、数据进行检测。常见的有3、...

leicc
2015/07/16
139
0
必须知道的app测试与web测试的区别

随着移动互联网的极速发展,移动应用更是呈指数增长,在app测试方面更是需求大涨,已经完全超过遗忘web测试。今天就简单说说两者的区别 从功能测试方面的来看,在流程和功能测试上是没有区别...

fiawfo
2016/12/22
474
0
改进身份验证漏洞扫描的五个步骤

你无法保护你不知道的东西。虽然这并不是IT安全领域的咒语,但当你从“可信”用户的角度寻找安全漏洞,或者换句话说,通过身份验证执行漏洞扫描时,这个原则确实是真的。 通过配置漏洞扫描仪...

小猪猪的风
2014/09/16
143
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周一乱弹 —— 熟悉的味道,难道这就是恋爱的感觉

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @xiaoshiyue :好久没分享歌了分享张碧晨的单曲《今后我与自己流浪》 《今后我与自己流浪》- 张碧晨 手机党少年们想听歌,请使劲儿戳(这里)...

小小编辑
今天
134
7
SpringBoot中 集成 redisTemplate 对 Redis 的操作(二)

SpringBoot中 集成 redisTemplate 对 Redis 的操作(二) List 类型的操作 1、 向列表左侧添加数据 Long leftPush = redisTemplate.opsForList().leftPush("name", name); 2、 向列表右......

TcWong
今天
18
0
排序––快速排序(二)

根据排序––快速排序(一)的描述,现准备写一个快速排序的主体框架: 1、首先需要设置一个枢轴元素即setPivot(int i); 2、然后需要与枢轴元素进行比较即int comparePivot(int j); 3、最后...

FAT_mt
昨天
4
0
mysql概览

学习知识,首先要有一个总体的认识。以下为mysql概览 1-架构图 2-Detail csdn |简书 | 头条 | SegmentFault 思否 | 掘金 | 开源中国 |

程序员深夜写bug
昨天
10
0
golang微服务框架go-micro 入门笔记2.2 micro工具之微应用利器micro web

micro web micro 功能非常强大,本文将详细阐述micro web 命令行的功能 阅读本文前你可能需要进行如下知识储备 golang分布式微服务框架go-micro 入门笔记1:搭建go-micro环境, golang微服务框架...

非正式解决方案
昨天
11
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部