软件测试论坛 › [安全测试工具] › Web安全性测试的一些知识

futogether 发表于 2007-1-11 17:01:27

Web安全性测试的一些知识

一个完整的Web安全体系测试可以从部署与基础结构，输入验证，身份验证，授权，配置管理，敏感数据，会话管理，加密，参数操作，异常管理，审核和日志记录等几个方面入手

futogether 发表于 2007-1-11 17:07:35

1.部署与基础结构

检验底层网络和主机基础结构提供给应用程序的安全设置，然后检验运行环境要求的所有限制。考虑部署的拓扑结构以及中间成应用程序服务器，外围区域以及内部防火墙对设计的影响。检验下列问题，确定可能存在的部署和基础结构问题。

1.网络是否提供了安全的通信。
2.部署拓扑结构是否包含内部防火墙。
3.部署拓扑结构中是否包含远程应用程序服务器。
4.基础结构安全性要求的限制是什么。
5.目标环境支持怎样的信任级别。

futogether 发表于 2007-1-11 17:08:11

书上抄来的，我完全不懂

wangfeng25 发表于 2007-1-11 17:10:58

完全不懂也来帮忙顶，精神可加！

futogether 发表于 2007-1-11 17:13:28

看你这么可怜的发广告，所以来看下啊

futogether 发表于 2007-1-12 11:29:35

2 输入验证

常见的输入验证漏洞。 漏洞影响超文本标记语言（HTML）输出流中有未经验证的输入
应用程序易受XSS攻击
用于生成SQL查询的输入未经验证
应用程序易受SQL注入攻击
依赖客户端的验证
客户端的验证很容易被忽略
使用输入文件名、URL或用户名制定安全决策
应用程序易出现规范化错误并导致安全漏洞
对恶意输入仅采用应用程序筛选器
这基本上不可能达到目的。原因是可能的恶意攻击范围太大。应用程序应对输入进行约束、拒绝和净化。

wangfeng25 发表于 2007-1-16 09:52:22

这书还再么，兔兔，给我发一份

futogether 发表于 2007-1-16 13:29:22

3 身份验证

常见的身份验证漏洞。 漏洞影响弱密码
增加了破解密码和词典攻击的风险
配置文件中使用明文凭据
可访问服务器的内部人员（或利用主机漏洞下载配置文件的攻击者）都能直接访问凭据
通过网络传递明文凭据
攻击者可通过监控网络来盗取身份验证凭据并窃取身份
账户的特权过强
与进程和账户泄漏相关的风险增加
长会话
与会话劫持相关的风险增加
混用个性化数据的身份验证数据
个性化数据适于永久的cookie，而身份验证cookie不应是永久的

追你到天边 发表于 2007-1-19 16:36:06

回复 #8 futogether 的帖子

谢谢 分享!能不能把书发我一份,kuangwork@126.com

TNOTHING 发表于 2007-1-22 10:14:08

原帖由 futogether 于 2007-1-11 17:08 发表
书上抄来的，我完全不懂

我也看出来了..

futogether 发表于 2007-1-22 10:14:12

不好意思，这是我照书上一个字一个字打出来的，没有电子版，呵呵～～

等我什么时候有空，我打出来，再上传好了

futogether 发表于 2007-1-22 14:20:59

4 授权

常见的授权漏洞。漏洞影响依赖单个网关守卫
如果网关守卫被忽略或配置不正确，用户能不经授权进行访问
不能根据应用程序身份锁定系统资源
攻击者可强制应用程序访问受限的系统资源
不能将数据库访问限定于特定存储过程
攻击者可利用SQL注入攻击来检索、操作或毁坏数据
特权隔离不充分
没有责任或能力对每个用户进行授权

futogether 发表于 2007-1-22 14:22:34

5 配置管理

常见的配置管理漏洞。漏洞影响不安全的管理界面
未经授权的用户可重新配置应用程序，并访问敏感数据
不安全的配置存储
未经授权的用户可访问配置存储并获取机密信息（如账户名、密码和数据库连接详细信息）
明文配置数据
可登录服务器的所有用户都能查看敏感的配置数据
管理员太多
这使管理员的审核和评价工作变得很困难
进程账户和服务账户的特权过高
这可导致特权提升攻击

windsmile 发表于 2007-1-22 15:17:17

Web安全性测试
数据加密：某些数据需要进行信息加密和过滤后才能进行数据传输，例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操作，如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多，越来越复杂，但一般数据加密的过程时可逆的，也就是说能进行加密，同时需要能进行解密！

登录：一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名和匹配的密码进行校验，以阻止非法用户登录。在进行登陆测试的时候，需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录，哪些页面或者文件 需要登录后才能访问/下载等。

超时限制：WEB应用系统需要有是否超时的限制，当用户长时间不作任何操作的时候，需要重新登录才能使用其功能。

SSL：越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写，是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术（RSA），在位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。进入一个SSL站点后，可以看到浏览器出现警告信息，然后地址栏的http变成https，在做SSL测试的时候，需要确认这些特点，以及是否有时间链接限制等一系列相关的安全保护。

服务器脚本语言：脚本语言是最常见的安全隐患，如有些脚本语言允许访问根目录，经验丰富的黑客可以通过这些缺陷来攻击和使用服务器系统，因此，脚本语言安全性在测试过程中也必须被考虑到。

日志文件：在服务器上，要验证服务器的日志是否正常工作，例如CPU的占用率是否很高，是否有例外的进程占用，所以的事务处理是否被记录等。

目录：WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当，通过简单的URL替换和推测，会将整个WEB目录完全暴露给用户，这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式，如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限，将这种隐患降低到最小程度。

futogether 发表于 2007-1-22 15:29:43

笑笑也无聊的开始打字了啊

windsmile 发表于 2007-1-22 15:33:58

什么啊，这叫大家一起交流知识啊

wangfeng25 发表于 2007-1-22 15:50:52

支持笑笑，精神可嘉！

futogether 发表于 2007-1-24 14:57:21

6 敏感数据处理中的常见漏洞

漏洞影响在不必要的情况下存储机密信息
与不存储机密信息相比，这首先大大增加了安全风险
在代码中存储机密数据
如果代码位于服务器，攻击者可能下载它。在二进制进程程序集中，机密信息是可见的
以明文形式存储机密信息
任何能登录服务器的人都可看见机密数据
在网络中以明文传递敏感数据
窃听者可通过监控网络来获取并篡改这些数据

futogether 发表于 2007-1-24 14:57:47

7 常见的会话管理漏洞

漏洞影响通过未加密的通道传递会话标识符
攻击者可捕获会话标识符来窃取身份
会话生生存期延长
这将增加会话劫持和重播攻击的风险
会话状态存储不安全
攻击者可访问用户的私有会话数据
查询字符串中的会话标识符
可通过在客户端轻松修改会话标识符来窃取身份，然后作为另一用户访问应用程序。

futogether 发表于 2007-1-24 14:58:09

8 常见的加密漏洞

漏洞影响使用自定义加密
安全性总是低于经过测试和考验的由系统平台提供的加密
使用错误的算法、或密匙过小
使用较新的算法可提高安全性，使用较大的密匙也可提高安全性
不能确保加密密匙的安全性
加密数据的安全性与加密密匙的安全性同等重要
在延长的时间段使用同一密匙
如果长时间使用，静态密匙很容易被发现

查看完整版本: Web安全性测试的一些知识