安全性測試初步接觸

初步分類：權(quán)限（黑盒+sql注入+目錄遍歷+非法文件與文字上傳與寫入）加密（網(wǎng)絡傳輸、本地cookie、源文件、認證與會話）攻擊（緩沖區(qū)溢出、sql注入、異常處理信息、端口掃描、服務器攻擊、跨站腳本攻擊、http回車換行注入攻擊、代碼注入、url重定向、google攻擊）

理論篇黑盒主要測試點用戶管理模塊，權(quán)限管理模塊，加密系統(tǒng)，認證系統(tǒng)等工具使用Appscan（首要）、AcunetixWebVulnerabilityScanner（備用）、HttpAnalyzerFull、TamperIESetup木桶原理安全性最低的模塊將成為瓶頸，需整體提高模型安全管理與審計物理層安全網(wǎng)絡層安全傳輸層安全應用層安全鏈路層物理層網(wǎng)絡層傳輸層應用層表示層會話層審計與監(jiān)控身份認證數(shù)據(jù)加密數(shù)字簽名完整性鑒別端到端加密訪問控制點到點鏈路加密物理信道安全訪問控制數(shù)據(jù)機密性數(shù)據(jù)完整性用戶認證防抵賴安全審計網(wǎng)絡安全層次層次模型網(wǎng)絡安全技術(shù)實現(xiàn)安全目標用戶安全（一）可手工執(zhí)行或工具執(zhí)行

輸入的數(shù)據(jù)沒有進行有效的控制和驗證

用戶名和密碼直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問上傳文件沒有限制不安全的存儲操作時間的失效性1.1）輸入的數(shù)據(jù)沒有進行有效的控制和驗證數(shù)據(jù)類型（字符串，整型，實數(shù)，等）允許的字符集最小和最大的長度是否允許空輸入?yún)?shù)是否是必須的重復是否允許數(shù)值范圍特定的值（枚舉型）特定的模式（正則表達式）（注：建議盡量采用白名單）1.21）用戶名和密碼-1檢測接口程序連接登錄時，是否需要輸入相應的用戶是否設置密碼最小長度（密碼強度）用戶名和密碼中是否可以有空格或回車？是否允許密碼和用戶名一致防惡意注冊：可否用自動填表工具自動注冊用戶？遺忘密碼處理有無缺省的超級用戶?（admin等，關(guān)鍵字需屏蔽）有無超級密碼?是否有校驗碼？

1.22）用戶名和密碼-2密碼錯誤次數(shù)有無限制？大小寫敏感？口令不允許以明碼顯示在輸出設備上強制修改的時間間隔限制（初始默認密碼）口令的唯一性限制（看需求是否需要）口令過期失效后，是否可以不登陸而直接瀏覽某個頁面哪些頁面或者文件需要登錄后才能訪問/下載cookie中或隱藏變量中是否含有用戶名、密碼、userid等關(guān)鍵信息1.3）直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問避免研發(fā)只是簡單的在客戶端不顯示權(quán)限高的功能項舉例Bug：沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址（含跳轉(zhuǎn)頁面），能直接打開頁面；注銷后，點瀏覽器上的后退，可以進行操作。正常登錄后，直接輸入自己沒有權(quán)限查看的頁面的網(wǎng)址，可以打開頁面。通過Http抓包的方式獲取Http請求信息包經(jīng)改裝后重新發(fā)送從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯誤的）1.4）上傳文件沒有限制上傳文件還要有大小的限制。上傳木馬病毒等（往往與權(quán)限一起驗證）上傳文件最好要有格式的限制；1.奧5）不施安全晶的存棗儲在頁脅面輸威入密看碼，末頁面晃應顯碑示“**俗**遼*”；數(shù)據(jù)妖庫中涉存的數(shù)密碼皆應經(jīng)是過加鈴密；地址習欄中殃不可腫以看街到剛鉗才填板寫的河密碼宵；右鍵傍查看拖源文榨件不輸能看服見剛滲才輸叛入的貨密碼熱；帳號融列表閃：系繩統(tǒng)不已應該臘允許剛用戶凡瀏覽廚到網(wǎng)衛(wèi)站所鑰有的裂帳號漠，如翅果必梳須要漠一個監(jiān)用戶此列表弦，推禽薦使猜用某顛種形咱式的策假名由（屏或幕名碗）來穿指向揚實際透的帳定號1.航6）操劫作時稈間的明失效都性檢測沾系統(tǒng)寇是否慚支持滾操作浪失效嗎時間敘的配哈置，駁同時摸達到仰所配釋置的意時間噸內(nèi)沒弓有對撐界面后進行坐任何榨操作拉時，匯檢測狂系統(tǒng)示是否屋會將舟用戶聰自動房誠失效臣，需野要重抖新登只錄系疾統(tǒng)。支持桶操作顯失效夕時間新的配佳置。支持兵當用獻戶在矩所配趴置的抹時間沒內(nèi)沒弊有對酒界面么進行有任何公操作援則該五應用押自動犯失效版。如，假用戶潮登陸末后在減一定冷時間六內(nèi)（怕例如15分鐘默）沒拜有點耕擊任淺何頁低面，后是否事需要棕重新逢登陸督才能它正常逼使用甚。（二殖）借拜助工個具或膀了解止后手向工來急進行益測試不能楚把數(shù)叮據(jù)驗修證寄陪希望砌于客秀戶端優(yōu)的驗竭證不安捉全的矮對象右引用習，防傳止XS程S攻擊注入躁式漏丑洞（SQ顫L注入貸）傳輸夠中與稼存儲夜時的摘密碼巡壽沒有線加密箱，夸不安伐全的框通信目錄帽遍歷2.猾1）不勝能把咳數(shù)據(jù)愉驗證刊寄希釋望于嫩客戶和端的靜驗證避免貴繞過世客戶矛端限研制（湊如長臺度、蕩特殊快字符粒或腳獨本等寶），腸所以速在服伴務器考端驗今證與水限制客戶旋端是設不安埋全，唐重要掉的運塊算和軍算法北不要齒在客齒戶端率運行奮。Se呼ss椒io湊n與co職ok敬ie例：徐保存單網(wǎng)頁魯并對彎網(wǎng)頁府進行曲修改緒，使樹其繞溜過客掘戶端陪的驗底證。（如脊只能針選擇哭的下歡拉框熱，對華輸入蛙數(shù)據(jù)深有特糖殊要惠求的他文本面框）還可高以查餓看co鐮ok默ie中記占錄，蠅偽造巾請求測試喊中，杠可使芝用Ta簡mp乒er亮IE枯Se者tu鞠p來繞汽過客照戶端息輸入醬框的材限制2.郵21）不灰安全邁的對逮象引撥用，糖防止XS逗S等攻逗擊阻止茫帶有暫語法霜含義出的輸晨入內(nèi)變?nèi)荩乐笴r矩os良s盟Si宅te費S浪cr孩ip壩ti率ng竿(們XS料S)周F熄la剝ws跨站醋點腳恐本攻哭擊（XS躬S）防止Cr紐奉os她s-第si爹te滑r劈燕eq云ue紹st什f灶or吩ge沫ry（CS紋RF）跨站豈請求王偽造xs伍s解釋狡：不估可信斜的內(nèi)王容被扯引入努到動圖態(tài)頁種面中脖，沒草有識唯別這挺種情誦況并筆采取蓬保護忠措施堂。攻秤擊者俱可在聾網(wǎng)上褲提交拋可以觀完成康攻擊糊的腳嗎本，遙普通衣用戶蜂點擊瓣了網(wǎng)提頁上秧這些欣攻擊原者提早交的琴腳本晃，那日么就穗會在在用戶男客戶癢機上摟執(zhí)行釣，完役成從去截獲棍帳戶既、更診改用呆戶設殖置、糖竊取榜和篡嫩改co網(wǎng)ok雀ie到虛左假廣倦告在股內(nèi)的吊種種據(jù)攻擊輔行為2.羨22）不替安全供的對蛋象引棟用，筐防止XS爺S等攻據(jù)擊測試巖方法恢：在逆輸入揉框中銳輸入零下列稍字符酒，可聯(lián)直接錢輸入謙腳本捧來看HT壘ML標簽尸：<…>…</…>轉(zhuǎn)義越字符錫：&a研mp湯(&雙)；&l饒t(潑<)；&g策t(趕>)；&n找bs窮p(空格)；腳本岔語言模：<s他cr廟ip贊t>雞al鹿er效t(奔do木cu范me交nt碧.c稼oo錢ki泊e)位;<當/s廁cr鉛ip嗚t>特殊狹字符艦：‘毅’<>誤/最小斬和最兇大的昌長度是否且允許幼空輸?shù)K入對Gr澆id、La主be隸l、Tr橋ee趟v鎮(zhèn)ie帥w類的埋輸入渠框未仗作驗低證，津輸入廁的內(nèi)碰容會只按照ht刑ml語法牽解析繡出來窮，要宏控制葵腳本旋注入狹的語聲法要罰素。嘉比如側(cè)：ja藥va悔sc義ri陳pt離不江開：“<”、“>”、“(”、“）”、“;”.在輸呀入或榴輸出為時對執(zhí)其進熱行字床符過跑濾或具轉(zhuǎn)義釀處理2.斗23）注皂入式練漏洞伍（SQ睬L注入編）對數(shù)宅據(jù)庫炒等進末行注走入攻稠擊。例：妙一個稠驗證予用戶嬸登陸母的頁朝面，如果察使用濫的sq蓋l語句剖為：Se拘l(wèi)e臟ct止*fr靠omus諸erwh制er箭ena共me＝‘畝’an播d在pa匯ss流w斬or鈴d瓦=‘健’…..則在Sq種l語句聰后面劫輸廈入‘1’or‘1’＝俗‘1’就可掙以不素輸入閣任何pa遲ss凝wo疾rd進行袋攻擊se騎le歷ct膊*芬f潮ro竿m憂us骨er麗w咸he希re拳n壘am確e=呀‘傳1'漆o咱r鐵‘1襲’=缺'1驅(qū)’永an疏d位pa弦ss南wo鍬rd娛=‘便1評'陡or儉‘茅1’搶='乘1’由于1=棄1是恒騎等的菜。也討就會叮把所罩有記嫂錄給疼查出導來。壤這樣患。這章樣就臨可以伍達到招不知夕道密鹽碼或翻者是聾用戶妄名的啄情況窯就登錦陸了2.脹24）傳圖輸中盈與存音儲時樓的密叫碼沒陵有加定密利用ss歷l來進俊行加催密，崖在位項于HT商TP層和TC電P層之夠間，鍋建立吊用戶相與服柴務器欲之間今的加爬密通旁信進入譽一個SS核L站點園后，邊可以捏看到厭瀏覽向器出含現(xiàn)警蠻告信料息，傍然后猜地址芬欄的ht愁tp變成ht樂tp驢s（特煎點確竭定）證書察認證——剝——邁——飲——錘——朵——產(chǎn)——勝——將——腸——仿——穗——檢查夾數(shù)據(jù)賣庫中按的用趨戶密恩碼、利管理抽者密略碼等股字段涂是否左是以來加密茅方式霉保存衫。存儲陣數(shù)據(jù)導庫單眠獨隔蹄離，口有備薪份的泰數(shù)據(jù)谷庫，宗權(quán)限畝唯一2.頭25）目啊錄遍陜歷舉例后：那現(xiàn)讀在把輛這個星ＵＲ梳Ｌ改蕉裝一西下：/u走sr野/l統(tǒng)oc宅al頑/a偷pa禿ch廳e/臣co尿nf蚊/里的設所有贊文件問都出務來了簡要瓣的解亭決方域案:１、睛限制We搖b應用湖在服蝕務器載上的冶運行牙，扇設定WE憑B服務鑰器的械目錄西訪問脾權(quán)限多２物、進磨行嚴雨格的肝輸入回驗證卷，控通制用鴿戶輸相入非胞法路雨徑，飯如在顫每個高目錄堡訪問選時有in喝de感x.份ht潔m（三搭）研竊發(fā)或閘使用壘工具窄才能旨進行認證愉和會瘋話數(shù)搬據(jù)不秀能作美為GE巴T的一綠部分摸來發(fā)洋送隱藏陸域與CG濫I參數(shù)不恰卡當?shù)男惓ＵZ處理不安勢全的厭配置開管理緩沖肚區(qū)溢宣出拒絕號服務日志與完整召性、正可審榴計性謝與可吵恢復質(zhì)性3.右1）Ge飯t脹or橡p珍os怒t認證籌和會香話數(shù)幫據(jù)不警應該繳作為GE捉T的一訓部分趙來發(fā)泡送，址應該殘使用PO飼ST例：莖對Gr邊id、La魚be跡l、Tr萬ee辱v械ie閱w類的堆輸入膨框未層作驗敢證，軍輸入劉的內(nèi)遭容會屢按照ht邁ml語法醉解析溉出來可使厭用Ta危mp賣er蹤蝶IE舟Se把tu絮p或Sc痛an生ne眨rH限tt吼pA容na舊ly臭ze膀rF昨ul勤l來判踢斷3.緊2）隱倉藏域戚與CG衡I參數(shù)Bu霸g舉例姨：犯分析聯(lián)：隱棚藏域蹤蝶中泄餡露了旦重要暑的信勢息，堆有時拼還可帥以暴闊露程競序原搜代碼陽。曾直接擔修改CG揮I參數(shù)嚴，就懇能繞佳過客督戶端襖的驗木證了川。崇如：<i撒np供ut肆t騙yp鎮(zhèn)e=橡"h皇id常de諷n"治n溉am碧e=攝"h異"昌va刑lu旅e=源"h豪tt偷p:躺//唱XX嬌X/孟ch職ec盟ko服ut驗.p附hp倍">只要珠改變va規(guī)lu蒙e的值算就可返能會根把程冊序的警原代四碼顯惑示出府來。如大棍小寫幸，編傘碼解月碼，草附加扣特殊銜字符棗或精雹心構(gòu)癥造的盈特殊稅請求畏等都拉可能雖導致CG頸I源代胸碼泄零露可使額用ap畜ps獻ca估n或ss廢s等來堂檢測執(zhí)，檢蒙查特勸殊字來符集3.焰3）不鈔恰當郵的異則常處歪理分析鋤：程播序在爬拋出話異常睛的時蔑候給務出了蹤蝶比較憤詳細需的內(nèi)菠部錯妹誤信改息，穿暴露廢了不慶應該南顯示阻的執(zhí)象行細倆節(jié)，幼網(wǎng)站佩存在滔潛在密漏洞塔，有孔可能醋會被懂攻擊彼者分聲析出犬網(wǎng)絡削環(huán)境侍的結(jié)瞇構(gòu)或揪配置通常訪為其賠他攻潛擊手矮段的槍輔助跑定位卷方式舉例抄：如ww膛w.呀c*庭*w評.c柿om，搜少索為親空時菌，，笑數(shù)據(jù)鳳庫顯協(xié)示出陷具體因錯誤謀位置球，可德進行sq返l注入觀攻擊唉或關(guān)飲鍵字脂猜測皆攻擊3.對4）不攏安全注的配靠置管融理分析友：Co熊nf室ig中的坐鏈接理字符意串以魂及用鉗戶信肺息，律郵件駕，數(shù)齡據(jù)存蹄儲信散息都剖需要多加以煉保護配置姨所有肯的安旁全機江制，關(guān)掉箏所有旋不使再用的廉服務觀，設置閱角色洽權(quán)限效帳號瞞，使用妙日志犧和警賢報。手段話：用濁戶使慕用緩鞏沖區(qū)亦溢出森來破漫壞we燥b應用綁程序您的棧瓣，通蔥過發(fā)另送特倆別編渾寫的屈代碼鎮(zhèn)到we抓b程序翼中，魚攻擊荷者可慶以讓we滋b應用震程序漁來執(zhí)禾行任皆意代婦碼例：吃數(shù)據(jù)敵庫的秘帳號標是不兵是默械認為“sa”，密計碼（丙還有螞端口揪號）臥是不牢是直普接寫援在配稀置文羽件里篩而沒煩有進挪行加餓密。3.韻5）緩訂沖區(qū)滅溢出WE觀B服務諷器沒絮有對解用戶悠提交榴的超竿長請也求沒短有進頓行合節(jié)適的精處理沃，這崇種請裂求可扭能包筒括超祝長UR蹤蝶L，超輕長HT很TP磚H隱ea姑de讓r域，歌或者也是其衰它超瞞長的糞數(shù)據(jù)使用自類似兩于“st茶rc胞py箱()，st緩rc奇at伶()”不進刪行有宵效位倦檢查油的函盾數(shù)，蝕惡意沖用戶溪編寫齊一小摧段程財序來帽進一尾步打領開安趣全缺票口，艷然后兩將該錯代碼軌放在取緩沖勇區(qū)有辦效載懇荷末虛尾，鴿這樣督，當運發(fā)生滿緩沖滿區(qū)溢臥出時醫(yī)，返刺回指執(zhí)針指北向惡都意代掠碼用戶援使用鍛緩沖案區(qū)溢佳出來勉破壞we慰b應用縣程序兇的棧頂，通獻過發(fā)以送特碧別編嘆寫的銷代碼與到we緩b程序尤中，填攻擊算者可悔以讓we滑b應用株程序弱來執(zhí)腥行任憶意代滋碼。如ap餃ac輪h緩沖塔區(qū)溢恭出等國錯誤稼，第睬三方御軟件介也需質(zhì)檢測3.宣6）拒知絕服訂務手段額：超殺長UR笨L，特鍵殊目漢錄，霧超長HT各TP銷H猴ea鼓de崗r域，賊畸形HT視TP斷H剩ea吸de帆r域或蓬者是DO酷S設備封文件分析笑：攻俘擊者燒可以逼從一輪個主沸機產(chǎn)貓生足譽夠多展的流螞量來賓耗盡沖狠多悶應用分程序秋，最燃終使艇程序愁陷入統(tǒng)癱瘓窮。需里要做泰負載愿均衡短來對母付。詳細摧如：馳死亡駛之pi盡ng、淚挖滴（Te索ar悄do哨ro杯p）、UD緩P洪水挎（UD暮P始Fl廚oo諸d）、SY居N洪水轟（SY拆N協(xié)Fl幣oo顏d）、La貢nd攻擊態(tài)、Sm游ur同f攻擊加、Fr秧ag暗gl掘e攻擊嗎、畸形滲消息太攻擊3.絨7）日踢志完巴整性陪?？申爩徲嫴⌒耘c撿可恢亮復性服務太器端寄日志坑：檢砌測系牛統(tǒng)運許行時奧是否毒會記指錄完忌整的久日志疼。如進稼行詳烤單查妨詢，誕檢測召系統(tǒng)咽是否格會記鄭錄相廉應的趨操作末員、夜操作爬時間毒、系紛統(tǒng)狀聞態(tài)、藥操作粱事項享、IP地址宿等檢測裙對系盟統(tǒng)關(guān)柿鍵數(shù)廉據(jù)進渴行增化加、壯修改阻和刪模除時啄，系賄統(tǒng)是土否會黎記錄型相應凈的修得改時廉間、首操作害人員逮和修毯改前蕩的數(shù)特據(jù)記偵錄。工具叨篇Wa等tc狀hf五ir說e支Ap券ps僻ca讓n——全面存自動骨測試茫工具Ac掀un慌et嫩ix藍W伸eb閣V逗ul允ne疫ra殼bi子li賄ty——全面誕自動飽測試截工具Sc鍛an罩ne孝rH拌tt詠pA貪na巨ly掘ze湖rF軍ul末l——加載果網(wǎng)頁瓣時可器判斷Ta妥mp填er席IE梅Se盛tu東p——提交疤表單生時改紙造數(shù)釘據(jù)注：壟上述融工具麥最好賀安裝枕在虛籠擬機鑄中，巖不影洲響實號際機鞠環(huán)境Ap摔ps治ca脆n、We派b森Vu港ln捎er它ab懼il粱it泰y需安先裝.n得et鞏f排ra族me岸wo謝rk，可偵能與sn胖if莫fe串r沖突Sc唱an東ne變rH忽tt并pA澤na梢ly羊ze餓