安全測試淺析

第第頁安全測試淺析1、安全測試的驗證點：

一個系統(tǒng)的安全驗證點，大致主要可以從以下來作為切入點，攻擊點（每個點例舉一兩個）：

1、上傳功能：

上傳中斷，程序是否有判斷上傳是否成功

上傳與（服務(wù)器）端語言（jsp/asp/php）一樣擴(kuò)展名的文件或exe等可執(zhí)行文件后，確認(rèn)在（服務(wù)器）端是否可直接運行

2、注冊功能/登陸功能：

請求是否安全傳輸

重復(fù)注冊／登陸

關(guān)鍵cookie是否httponly

會話固定：利用session的不變機(jī)制，獲取他人認(rèn)證和授權(quán)，然后冒充

3、驗證碼功能：

短信轟炸

驗證碼一次性

4、忘記密碼：通過手機(jī)號／郵箱找回

程序設(shè)計不合理，導(dǎo)致可以繞過短信驗證碼，從而進(jìn)行修改（使用burpsuite抓包，修改響應(yīng)值true）

5、敏感信息泄漏：（數(shù)據(jù)庫）／日志／提示

6、越權(quán)測試：

不登陸系統(tǒng)，直接輸入（下載）文件的URL是否可以（下載）／直接輸入登錄后頁面的URL是否可以訪問

手動更改URL中的參數(shù)值能否訪問沒有權(quán)限訪問的頁面

不同用戶之間session共享，可以非法操做對方的數(shù)據(jù)

7、錯誤信息：

錯誤信息中釋放含有sql語句，錯誤信息以及web服務(wù)器的絕對路徑

8、Session:

退出登陸后，點擊后退按鈕是否能訪問之前的頁面

主要歸結(jié)為以下幾點：（后期可以優(yōu)化成一個安全測試的框架結(jié)構(gòu)）

1、部署與基礎(chǔ)結(jié)構(gòu)，2、輸入驗證，3、身份驗證，4、授權(quán)，5、配置管理，6、敏感數(shù)據(jù)，7、會話管理，8、加密，9、參數(shù)操作，10、異常管理，11、審核和日志安全，

2、結(jié)合實際情況（現(xiàn)有系統(tǒng)）發(fā)現(xiàn)的問題：

1、日志/提示：在系統(tǒng)的初期，一般比較容易發(fā)現(xiàn)的問題就是在進(jìn)行一些錯誤或者反向測試時，在頁面的提示中會出現(xiàn)帶有明顯的數(shù)據(jù)庫的表或者字段的打印，或者會出現(xiàn)一些敏感詞，日志里面類似密碼，卡號，身份證號沒有相應(yīng)的明密文轉(zhuǎn)換，而這些敏感詞/明密文不互轉(zhuǎn)的存在，就會導(dǎo)致攻擊者能夠獲取到，從而進(jìn)行簡單粗暴的攻擊，輕易的攻擊服務(wù)器或者數(shù)據(jù)庫，這就會危害到整個系統(tǒng)！

2、重復(fù)性：大部分的web網(wǎng)站都會有注冊功能，而類似我們負(fù)責(zé)支付這塊也都會有開戶，就注冊跟開戶，基本上（需求）上都會有唯一性的校驗，在前端就會進(jìn)行攔截，但如果使用jmter進(jìn)行參數(shù)以及參數(shù)值的新增，有可能新增成功，就會導(dǎo)致頁面系統(tǒng)里面會出現(xiàn)相同數(shù)據(jù)，可能導(dǎo)致整個功能的出錯

3、次數(shù)限制：類似發(fā)單，登錄或者短信，如果沒有進(jìn)行相應(yīng)的限制，如短信，沒有進(jìn)行限制次數(shù)，攻擊者就會通過短信轟炸，攻擊系統(tǒng)，導(dǎo)致系統(tǒng)癱瘓，其他客戶就會使用不了該系統(tǒng)

4、越權(quán)測試：（基本上大部分系統(tǒng)都沒有明確的寫出越權(quán)方面的需求）一個web系統(tǒng)，一般地址欄都會有參數(shù)的帶入，如：用戶號，訂單號或者是其他的一些參數(shù)，而在這個基礎(chǔ)上一個系統(tǒng)都會有很多用戶，或者很多等級，如：A大于B大于C，那我使用C用戶進(jìn)行登錄，查看C用戶所屬的訂單，在地址欄中會有訂單號的參數(shù)帶入，如果系統(tǒng)沒有進(jìn)行相應(yīng)的限制，此時C用戶就可以修改訂單號從而可以看到B乃至A用戶的數(shù)據(jù)，這就可能導(dǎo)致數(shù)據(jù)的泄露，再者，如果可以修改用戶的用戶號，沒有做處理，這樣就可以對所有數(shù)據(jù)進(jìn)行操作，整個系統(tǒng)就亂了，影響很大

5、（SQL）注入/XSS攻擊：主要是輸入框的校驗/攔截以及是否轉(zhuǎn)義，如果沒有系統(tǒng)沒有對輸入的內(nèi)容進(jìn)行處理，那攻擊者就可以輸入一段SQL語句，或者一段代碼，在后臺進(jìn)入到相應(yīng)的功能，就會導(dǎo)致整個功能是錯亂的，其他正常用戶所提交的數(shù)據(jù)也查看操作不了，或者提交的代碼是死循環(huán)（

），就會關(guān)閉不掉，所以這點是非常重要的

基本上上述的五點都是在測試中，系統(tǒng)真實存在，發(fā)生的問題，還有其他問題就不一一例舉了，其中越權(quán)跟SQL注入以及XSS攻擊都是重中之重！

3、克服的小困難：

上面所述的都是需要人工進(jìn)行手動參與，且人力操作時不會那么飽滿全面，所以這是一個遇到的小問題，現(xiàn)在是有一個針對web系統(tǒng)進(jìn)行漏洞掃描的工具:AWVS，它通過網(wǎng)絡(luò)爬蟲測試你的網(wǎng)站安全，檢測流行安全漏洞，針對漏洞主要分為四個等級：高危、中危，低危以及優(yōu)化，它會進(jìn)行內(nèi)外鏈接的安全性，文件是否存在以及傳輸是否安全，也包含SQL注入跟XSS攻擊，輸入地址，用戶名密碼后，進(jìn)行掃描完成后會展示相應(yīng)的數(shù)據(jù)：漏洞的數(shù)量，漏洞的描述，建議性的修復(fù)；掃描網(wǎng)站的時長，文件數(shù)據(jù)量，環(huán)境信息等，較為全面！

4、安全測試的思路跟框架：

主要是分為：①部署與基礎(chǔ)結(jié)構(gòu)，②輸入驗證，③/身份驗證（權(quán)限驗證），④敏感數(shù)據(jù)，⑤參數(shù)操作，⑥審核和日志安全；主要根據(jù)這六點來做到一個較為完整的思路

框架就是根據(jù)半手工，半自動來實現(xiàn)整個系統(tǒng)的驗證

5、目前存在的問題/需要優(yōu)化的：

現(xiàn)在針對安全是半手工，半（自動化），但都不是專業(yè)級，所以還在摸索階段，只能盡可能的去發(fā)現(xiàn)系統(tǒng)中存在的漏洞，且測