51Testing软件测试论坛

标题: 请教:在银行系统中经常要做哪些安全测试? [打印本页]

作者: babyfeir    时间: 2009-8-6 15:16
标题: 请教:在银行系统中经常要做哪些安全测试?
最近公司有个和银行系统相关的项目,请问:在银行系统中经常会做哪些安全测试?请了解的筒子们多多指教。最好能说得详细点。谢谢
另外,在安全测试版块里面潜伏了一段时间,大多数筒子们都是在讨论某些工具,如:appscan的使用,我很疑惑难道安全测试只能基于工具吗?这只是我的一点疑惑,说得不对之处请大家谅解
作者: babyfeir    时间: 2009-8-7 10:41
高人在哪里?
作者: archonwang    时间: 2009-8-7 13:33
这个问题,我不是很了解银行的情况,不过可以简单说点自己知道的,希望有同仁可以指教。

一般情况下,对现有应用系统的漏洞扫描时必不可少的,比如使用AppScan这些三方的商业工具;实际上,安全工作需要划分多个层次进行保障
1. 行政管理层面,严格的规章制度是安全管理的第一保障
2. 从IT层面而言,需要考虑网络安全、数据信息安全、应用生产系统安全等
3. 针对各不同的层面,引入各种规则、机制、工具和流程,并对现状进行检测

安全性测试涉及的面太广,目前针对IT而言,就包含了网络安全,数据信息安全及应用生产系统安全和数据库安全等内容,甚至还包括了特定设备和硬件的安全检验。

我们目前所讨论的安全仅限于应用安全。
作者: 小米啊    时间: 2009-8-11 01:31
Web Server:结合网络技术直接对服务器进行渗透测试
输入处理:如SQL Inject/XSS/系统命令注入/XPath注入等测试;
访问处理:用户名密码猜解/证书处理等测试
程序逻辑:cookie/隐藏字段/js控制

burp suite 以前用过,并送一个例子
实验7:网银系统xss渗透测试实验
准备要加入的代码:<script>window.location="http://www.sina.com"</script>
首先要对开发工具加密算法进行分析,再把代码作相应改写:
%7E3Cscript%7E3Ewindow%7E2Elocation%7E3D%7E22http%7E3A%7E2F%7E2Fwww%7E2Esina%7E2Ecom%7E22%7E3C%7E2Fscript%7E3E
准备完毕

1.打开burp suite .设置代理。截取http请求。
2.这里姓名里面存在xss漏洞。此前可以输入32位,可以直接在界面放<script>alert(1)</script>。
后来开发人员改成16位,此漏洞仍然可以渗透。先输入一个合法的小于16位的长度的姓名(ffffffffffffffff)。
[attach]55013[/attach]
3.点提交,在burp suite截取的内容如下。
[attach]55014[/attach]
4.把fffffffffffff换成我们的上面构造的字符
[attach]55015[/attach]
5.提交,查看用户姓名被改。
[attach]55016[/attach]
用修改后的用户登录,实现了跳转。

总结:虽然在姓名那里作了长度为16的客户端验证,但还是可以放入大于16位的可执行命令。
此漏洞开发人员做过二次修复,没有很好的效果。最后采用键盘控制,这个问题得到解决
希望有用!

[ 本帖最后由 小米啊 于 2009-8-11 01:45 编辑 ]




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2