安全性測試初步接觸.ppt

1、初步分類： 權(quán)限 （黑盒+sql注入+目錄遍歷+非法文件與文字上傳與寫入） 加密 （網(wǎng)絡(luò)傳輸、本地cookie、源文件、認(rèn)證與會話） 攻擊 （緩沖區(qū)溢出、sql注入、異常處理信息、端口掃描、服務(wù)器攻擊、跨站腳本攻擊、http回車換行注入攻擊、代碼注入、url重定向、google攻擊）,理論篇,做的比較粗糙，大家在這塊有什么可以交流下， 消逝,黑盒主要測試點 用戶管理模塊，權(quán)限管理模塊，加密系統(tǒng)，認(rèn)證系統(tǒng)等 工具使用 Appscan（首要）、Acunetix Web Vulnerability Scanner（備用）、HttpAnalyzerFull、TamperIESetup 木桶原理 安全性

2、最低的模塊將成為瓶頸，需整體提高,他人模型（雖然比較舊了）,安全管理與審計,物理層安全,網(wǎng)絡(luò)層安全,傳輸層安全,應(yīng)用層安全,鏈路層 物理層,網(wǎng)絡(luò)層,傳輸層,應(yīng)用層 表示層 會話層,審計與監(jiān)控 身份認(rèn)證 數(shù)據(jù)加密 數(shù)字簽名 完整性鑒別 端到端加密 訪問控制 點到點鏈路加密 物理信道安全,訪問控制 數(shù)據(jù)機密性 數(shù)據(jù)完整性,用戶認(rèn)證 防抵賴 安全審計,網(wǎng)絡(luò)安全層次,層次 模型,網(wǎng)絡(luò)安全技術(shù),實現(xiàn)安全目標(biāo),用戶 安全,（一）可手工執(zhí)行或工具執(zhí)行,輸入的數(shù)據(jù)沒有進行有效的控制和驗證 用戶名和密碼 直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問 上傳文件沒有限制（此次不需要） 不安全的存儲 操作時間的失效性,1.1）

3、輸入的數(shù)據(jù)沒有進行有效的控制和驗證,數(shù)據(jù)類型（字符串，整型，實數(shù)，等） 允許的字符集 最小和最大的長度 是否允許空輸入 參數(shù)是否是必須的 重復(fù)是否允許 數(shù)值范圍 特定的值（枚舉型） 特定的模式（正則表達式）（注：建議盡量采用白名單）,1.21）用戶名和密碼-1,檢測接口程序連接登錄時，是否需要輸入相應(yīng)的用戶 是否設(shè)置密碼最小長度（密碼強度） 用戶名和密碼中是否可以有空格或回車？ 是否允許密碼和用戶名一致 防惡意注冊：可否用自動填表工具自動注冊用戶？ （傲游等） 遺忘密碼處理 有無缺省的超級用戶?（admin等，關(guān)鍵字需屏蔽） 有無超級密碼? 是否有校驗碼？,1.22）用戶名和密碼-2,密碼錯誤

4、次數(shù)有無限制？ 大小寫敏感？ 口令不允許以明碼顯示在輸出設(shè)備上 強制修改的時間間隔限制（初始默認(rèn)密碼） 口令的唯一性限制（看需求是否需要） 口令過期失效后，是否可以不登陸而直接瀏覽某個頁面 哪些頁面或者文件需要登錄后才能訪問/下載 cookie中或隱藏變量中是否含有用戶名、密碼、userid等關(guān)鍵信息,1.3）直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問,避免研發(fā)只是簡單的在客戶端不顯示權(quán)限高的功能項 舉例Bug： 沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址（含跳轉(zhuǎn)頁面），能直接打開頁面； 注銷后，點瀏覽器上的后退，可以進行操作。 正常登錄后，直接輸入自己沒有權(quán)限查看的頁面的網(wǎng)址，可以打開

5、頁面。 通過Http抓包的方式獲取Http請求信息包經(jīng)改裝后重新發(fā)送 從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯誤的）,1.4）上傳文件沒有限制（此次不需要）,上傳文件還要有大小的限制。 上傳木馬病毒等（往往與權(quán)限一起驗證） 上傳文件最好要有格式的限制； 此次我們不需要驗證此處，簡單介紹下，跳過,1.5）不安全的存儲,在頁面輸入密碼，頁面應(yīng)顯示 “*”； 數(shù)據(jù)庫中存的密碼應(yīng)經(jīng)過加密； 地址欄中不可以看到剛才填寫的密碼； 右鍵查看源文件不能看見剛才輸入的密碼； 帳號列表：系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號，如果必須要一個用戶列表，推薦使用某種形式的假名

6、（屏幕名）來指向?qū)嶋H的帳號,1.6）操作時間的失效性,檢測系統(tǒng)是否支持操作失效時間的配置，同時達到所配置的時間內(nèi)沒有對界面進行任何操作時，檢測系統(tǒng)是否會將用戶自動失效，需要重新登錄系統(tǒng)。 支持操作失效時間的配置。 支持當(dāng)用戶在所配置的時間內(nèi)沒有對界面進行任何操作則該應(yīng)用自動失效。 如，用戶登陸后在一定時間內(nèi)（例如15 分鐘）沒有點擊任何頁面，是否需要重新登陸才能正常使用。,（二）借助工具或了解后手工來進行測試,不能把數(shù)據(jù)驗證寄希望于客戶端的驗證 不安全的對象引用，防止XSS攻擊 注入式漏洞（SQL注入） 傳輸中與存儲時的密碼沒有加密 ，不安全的通信 目錄遍歷,2.1）不能把數(shù)據(jù)驗證寄希望于客戶

7、端的驗證,避免繞過客戶端限制（如長度、特殊字符或腳本等），所以在服務(wù)器端驗證與限制 客戶端是不安全，重要的運算和算法不要在客戶端運行。 Session與cookie 例：保存網(wǎng)頁并對網(wǎng)頁進行修改，使其繞過客戶端的驗證。 （如只能選擇的下拉框，對輸入數(shù)據(jù)有特殊要求的文本框） 還可以查看cookie中記錄，偽造請求 測試中，可使用TamperIESetup來繞過客戶端輸入框的限制,2.21）不安全的對象引用，防止XSS等攻擊,阻止帶有語法含義的輸入內(nèi)容，防止Cross Site Scripting (XSS) Flaws 跨站點腳本攻擊（XSS） 防止Cross-site request forg

8、ery（CSRF）跨站請求偽造 xss解釋：不可信的內(nèi)容被引入到動態(tài)頁面中，沒有識別這種情況并采取保護措施。攻擊者可在網(wǎng)上提交可以完成攻擊的腳本，普通用戶點擊了網(wǎng)頁上這些攻擊者提交的腳本，那么就會在用戶客戶機上執(zhí)行，完成從截獲帳戶、更改用戶設(shè)置、竊取和篡改 cookie 到虛假廣告在內(nèi)的種種攻擊行為,2.22）不安全的對象引用，防止XSS等攻擊,測試方法：在輸入框中輸入下列字符，可直接輸入腳本來看 HTML標(biāo)簽： 轉(zhuǎn)義字符：”. 在輸入或輸出時對其進行字符過濾或轉(zhuǎn)義處理,2.23）注入式漏洞（SQL注入）,對數(shù)據(jù)庫等進行注入攻擊。 例：一個驗證用戶登陸的頁面，如果使用的sql語句為：Selec

9、t *fromtable A whereusername + username+ and pass word . 則在Sql語句后面 輸入 or 11 就可以不輸入任何password進行攻擊 SELECT count(*)FROM usersWHERE username=a or a=a AND password=a or a=a (資料太多，不顯示了此處，借助工具Appscan等吧),2.24）傳輸中與存儲時的密碼沒有加密,利用ssl來進行加密，在位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信 進入一個SSL站點后，可以看到瀏覽器出現(xiàn)警告信息，然后地址欄的http變成http

10、s （特點確定） 證書認(rèn)證 檢查數(shù)據(jù)庫中的用戶密碼、管理者密碼等字段是否是以加密方式保存。 存儲數(shù)據(jù)庫單獨隔離，有備份的數(shù)據(jù)庫，權(quán)限唯一,2.25）目錄遍歷,舉例： . /local/apache/conf/ /usr/local/apache/conf/里的所有文件都出來了 簡要的解決方案:、限制Web應(yīng)用在服務(wù)器上的運行 ，格設(shè)定WEB服務(wù)器的目錄訪問權(quán)限、進行嚴(yán)格的輸入驗證，控制用戶輸入非法路徑，如在每個目錄訪問時有index.htm,（三）研發(fā)或使用工具才能進行,認(rèn)證和會話數(shù)據(jù)不能作為GET的一部分來發(fā)送 隱藏域與CGI參數(shù) 不恰當(dāng)?shù)漠惓Ｌ幚?不安全的配置管理 緩沖區(qū)溢出 拒絕服務(wù) 日

11、志完整性、可審計性與可恢復(fù)性,3.1）Get or post,認(rèn)證和會話數(shù)據(jù)不應(yīng)該作為GET的一部分來發(fā)送，應(yīng)該使用POST 例：對Grid、Label、Tree view類的輸入框未作驗證，輸入的內(nèi)容會按照html語法解析出來 可使用TamperIESetup或ScannerHttpAnalyzerFull來判斷,3.2）隱藏域與CGI參數(shù),Bug舉例：分析：隱藏域中泄露了重要的信息，有時還可以暴露程序原代碼。直接修改CGI參數(shù)，就能繞過客戶端的驗證了。如：只要改變value的值就可能會把程序的原代碼顯示出來。 如大小寫，編碼解碼，附加特殊字符或精心構(gòu)造的特殊請求等都可能導(dǎo)致CGI源代碼泄露

12、 可使用appscan或sss等來檢測，檢查特殊字符集,3.3）不恰當(dāng)?shù)漠惓Ｌ幚?分析：程序在拋出異常的時候給出了比較詳細(xì)的內(nèi)部錯誤信息，暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站存在潛在漏洞，有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置 通常為其他攻擊手段的輔助定位方式 舉例：如www.c* ，搜索為空時，數(shù)據(jù)庫顯示出具體錯誤位置，可進行sql注入攻擊或關(guān)鍵字猜測攻擊,3.4）不安全的配置管理,分析：Config中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲信息都需要加以保護 配置所有的安全機制， 關(guān)掉所有不使用的服務(wù)， 設(shè)置角色權(quán)限帳號， 使用日志和警報。 手段：用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧

13、，通過發(fā)送特別編寫的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼 例：數(shù)據(jù)庫的帳號是不是默認(rèn)為“sa”，密碼（還有端口號）是不是直接寫在配置文件里而沒有進行加密。,3.5）緩沖區(qū)溢出,WEB服務(wù)器沒有對用戶提交的超長請求沒有進行合適的處理，這種請求可能包括超長URL，超長HTTP Header域，或者是其它超長的數(shù)據(jù) 使用類似于“strcpy()，strcat()”不進行有效位檢查的函數(shù)，惡意用戶編寫一小段程序來進一步打開安全缺口，然后將該代碼放在緩沖區(qū)有效載荷末尾，這樣，當(dāng)發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼 用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧，通過發(fā)送特別編寫的代

14、碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼。 如apach緩沖區(qū)溢出等錯誤，第三方軟件也需檢測,3.6）拒絕服務(wù),手段：超長URL，特殊目錄，超長HTTP Header域，畸形HTTP Header域或者是DOS設(shè)備文件 分析：攻擊者可以從一個主機產(chǎn)生足夠多的流量來耗盡狠多應(yīng)用程序，最終使程序陷入癱瘓。需要做負(fù)載均衡來對付。 詳細(xì)如：死亡之ping、淚滴（Teardorop）、UDP洪水（UDP Flood）、SYN洪水（SYN Flood）、Land攻擊、Smurf攻擊、Fraggle攻擊、畸形消息攻擊,3.7）日志完整性?？蓪徲嬓耘c可恢復(fù)性,服務(wù)器端日志：檢測系統(tǒng)運行時是否

15、會記錄完整的日志。 如進行詳單查詢，檢測系統(tǒng)是否會記錄相應(yīng)的操作員、操作時間、系統(tǒng)狀態(tài)、操作事項、IP地址等 檢測對系統(tǒng)關(guān)鍵數(shù)據(jù)進行增加、修改和刪除時，系統(tǒng)是否會記錄相應(yīng)的修改時間、操作人員和修改前的數(shù)據(jù)記錄。,工具篇,Watchfire Appscan全面自動測試工具 Acunetix Web Vulnerability 全面自動測試工具 ScannerHttpAnalyzerFull加載網(wǎng)頁時可判斷 TamperIESetup提交表單時改造數(shù)據(jù) 注：上述工具最好安裝在虛擬機中，不影響實際機環(huán)境 Appscan、 Web Vulnerability 需安裝.net framework，可能與sniffer沖突 ScannerHttpAnalyzerFul與TamperIESetup會影響實際機瀏覽器平時的功能測試,（一）Watchfire Appscan,選擇模板，default（含大部分的測試集合）,填入用戶名與密碼（各頁面通用）,（二）Acunetix Web Vulnerability,選擇web scan，填寫用戶名與密碼,（三）ScannerHttpAnalyzerFull,嵌套在網(wǎng)頁中，對于每個加載項都有加載時間、method、result、type