51Testing软件测试论坛

标题: Web安全性测试的一些知识 [打印本页]

作者: futogether    时间: 2007-1-11 17:01
标题: Web安全性测试的一些知识
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手
作者: futogether    时间: 2007-1-11 17:07
标题: 1.部署与基础结构
检验底层网络和主机基础结构提供给应用程序的安全设置,然后检验运行环境要求的所有限制。考虑部署的拓扑结构以及中间成应用程序服务器,外围区域以及内部防火墙对设计的影响。检验下列问题,确定可能存在的部署和基础结构问题。

1.网络是否提供了安全的通信。
2.部署拓扑结构是否包含内部防火墙。
3.部署拓扑结构中是否包含远程应用程序服务器。
4.基础结构安全性要求的限制是什么。
5.目标环境支持怎样的信任级别。
作者: futogether    时间: 2007-1-11 17:08
书上抄来的,我完全不懂
作者: wangfeng25    时间: 2007-1-11 17:10
完全不懂也来帮忙顶,精神可加!
作者: futogether    时间: 2007-1-11 17:13
看你这么可怜的发广告,所以来看下啊
作者: futogether    时间: 2007-1-12 11:29
标题: 2 输入验证
常见的输入验证漏洞。
漏洞
影响
超文本标记语言(HTML)输出流中有未经验证的输入
应用程序易受XSS攻击
用于生成SQL查询的输入未经验证
应用程序易受SQL注入攻击
依赖客户端的验证
客户端的验证很容易被忽略
使用输入文件名、URL或用户名制定安全决策
应用程序易出现规范化错误并导致安全漏洞
对恶意输入仅采用应用程序筛选器
这基本上不可能达到目的。原因是可能的恶意攻击范围太大。应用程序应对输入进行约束、拒绝和净化。

作者: wangfeng25    时间: 2007-1-16 09:52
这书还再么,兔兔,给我发一份
作者: futogether    时间: 2007-1-16 13:29
标题: 3 身份验证
常见的身份验证漏洞。
漏洞
影响
弱密码
增加了破解密码和词典攻击的风险
配置文件中使用明文凭据
可访问服务器的内部人员(或利用主机漏洞下载配置文件的攻击者)都能直接访问凭据
通过网络传递明文凭据
攻击者可通过监控网络来盗取身份验证凭据并窃取身份
账户的特权过强
与进程和账户泄漏相关的风险增加
长会话
与会话劫持相关的风险增加
混用个性化数据的身份验证数据
个性化数据适于永久的cookie,而身份验证cookie不应是永久的

作者: 追你到天边    时间: 2007-1-19 16:36
标题: 回复 #8 futogether 的帖子
谢谢 分享!能不能把书发我一份,kuangwork@126.com
作者: TNOTHING    时间: 2007-1-22 10:14
原帖由 futogether 于 2007-1-11 17:08 发表
书上抄来的,我完全不懂


我也看出来了..
作者: futogether    时间: 2007-1-22 10:14
不好意思,这是我照书上一个字一个字打出来的,没有电子版,呵呵~~

等我什么时候有空,我打出来,再上传好了
作者: futogether    时间: 2007-1-22 14:20
标题: 4 授权
  常见的授权漏洞。
漏洞
影响
依赖单个网关守卫
如果网关守卫被忽略或配置不正确,用户能不经授权进行访问
不能根据应用程序身份锁定系统资源
攻击者可强制应用程序访问受限的系统资源
不能将数据库访问限定于特定存储过程
攻击者可利用SQL注入攻击来检索、操作或毁坏数据
特权隔离不充分
没有责任或能力对每个用户进行授权

作者: futogether    时间: 2007-1-22 14:22
标题: 5 配置管理
常见的配置管理漏洞。
漏洞
影响
不安全的管理界面
未经授权的用户可重新配置应用程序,并访问敏感数据
不安全的配置存储
未经授权的用户可访问配置存储并获取机密信息(如账户名、密码和数据库连接详细信息)
明文配置数据
可登录服务器的所有用户都能查看敏感的配置数据
管理员太多
这使管理员的审核和评价工作变得很困难
进程账户和服务账户的特权过高
这可导致特权提升攻击

作者: windsmile    时间: 2007-1-22 15:17
Web安全性测试
数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!

登录:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件 需要登录后才能访问/下载等。

超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候,需要重新登录才能使用其功能。

SSL:越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密技术(RSA),在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。

服务器脚本语言:脚本语言是最常见的安全隐患,如有些脚本语言允许访问根目录,经验丰富的黑客可以通过这些缺陷来攻击和使用服务器系统,因此,脚本语言安全性在测试过程中也必须被考虑到。

日志文件:在服务器上,要验证服务器的日志是否正常工作,例如CPU的占用率是否很高,是否有例外的进程占用,所以的事务处理是否被记录等。

目录:WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,将这种隐患降低到最小程度。
作者: futogether    时间: 2007-1-22 15:29
笑笑也无聊的开始打字了啊
作者: windsmile    时间: 2007-1-22 15:33
什么啊,这叫大家一起交流知识啊
作者: wangfeng25    时间: 2007-1-22 15:50
支持笑笑,精神可嘉!
作者: futogether    时间: 2007-1-24 14:57
标题: 6 敏感数据处理中的常见漏洞
漏洞
影响
在不必要的情况下存储机密信息
与不存储机密信息相比,这首先大大增加了安全风险
在代码中存储机密数据
如果代码位于服务器,攻击者可能下载它。在二进制进程程序集中,机密信息是可见的
以明文形式存储机密信息
任何能登录服务器的人都可看见机密数据
在网络中以明文传递敏感数据
窃听者可通过监控网络来获取并篡改这些数据

作者: futogether    时间: 2007-1-24 14:57
标题: 7 常见的会话管理漏洞
漏洞
影响
通过未加密的通道传递会话标识符
攻击者可捕获会话标识符来窃取身份
会话生生存期延长
这将增加会话劫持和重播攻击的风险
会话状态存储不安全
攻击者可访问用户的私有会话数据
查询字符串中的会话标识符
可通过在客户端轻松修改会话标识符来窃取身份,然后作为另一用户访问应用程序。

作者: futogether    时间: 2007-1-24 14:58
标题: 8 常见的加密漏洞
漏洞
影响
使用自定义加密
安全性总是低于经过测试和考验的由系统平台提供的加密
使用错误的算法、或密匙过小
使用较新的算法可提高安全性,使用较大的密匙也可提高安全性
不能确保加密密匙的安全性
加密数据的安全性与加密密匙的安全性同等重要
在延长的时间段使用同一密匙
如果长时间使用,静态密匙很容易被发现

作者: futogether    时间: 2007-1-24 14:58
标题: 9 常见的参数操作漏洞
漏洞
影响
无法验证所有输入参数
应用程序易受拒绝服务攻击和代码注入攻击,包括SQL注入和XSS
未经加密的cookie中有敏感数据
Cookie数据可在客户端更改,也可通过网络传递获取并更改
查询字符串和表单字段中存在敏感数据
可在客户端轻松的更改
信任HTTP头信息
可在客户端轻松的更改
视图状态未保护
可在客户端轻松的更改

作者: futogether    时间: 2007-1-24 14:58
标题: 10 常见的异常管理漏洞
漏洞
影响
无法使用结构化的异常处理
应用程序更易受到拒绝服务的攻击,并容易出现逻辑错误,从而暴露安全漏洞
向客户端公开太多信息
攻击者可使用这些信息来规划和调整日后的攻击

作者: futogether    时间: 2007-1-24 14:59
标题: 11 常见的审核和日志记录漏洞
漏洞
影响
无法审核失败的登录
入侵企图得不到检测
无法确保审核文件的安全
攻击者可掩饰自己的攻击
无法跨应用程序层进行审核
增加了抵赖的风险

作者: 刘顺    时间: 2007-1-29 13:24
sdlkfj2
作者: lxm_lxm    时间: 2007-1-30 14:36
小狐狸这本书的名字是什么?刚开始学习,想买点这方面的书,大家帮忙能提供点信息
作者: creat7151    时间: 2007-3-12 17:19
是啊,这书不错啊
作者: ok-ok    时间: 2007-3-20 21:49
sdlkfj5 这本书叫啥名字呢?
作者: futogether    时间: 2007-3-26 18:12
这本书是我以前考软件评测师的教程,书名应该是 软件评测师 吧,这本是2005的教程了,现在可能有更新吧。


不好意思, 最近一直没上来,现在才答复
作者: lizhm    时间: 2007-4-3 09:59
呵呵,谢谢啊! 正在学习如何进行安全性测试呢?
作者: alenna    时间: 2007-4-24 15:29
微软的MSDN上都有的,那个是针对web应用的Threat and Countermeasure
作者: yuandjing    时间: 2007-5-14 16:06
好,都是安全性测试的重点
作者: 天蝎蝴蝶    时间: 2007-6-13 17:58
xuexi
作者: monkey_hou    时间: 2007-6-25 15:30
已经学习,多谢大家!
作者: cnnewstart    时间: 2007-7-9 09:27
辛苦了,谢谢分享
作者: guaiguai    时间: 2007-7-28 10:47
谢谢1
作者: waiverson    时间: 2007-7-31 11:31
希望能成为一名黑客(安全测试专家)
作者: james.zhong    时间: 2007-8-16 18:01
哈哈~~~等下我就去书店找找看!
作者: jptiger    时间: 2007-8-28 15:57
这是什么书啊  顶一下
作者: hellen_ma    时间: 2007-9-19 10:10
我已经很努力的学习了,不过还是不怎么明白sdlkfj7
作者: hugh007    时间: 2007-9-20 14:32
测试人员还要回黑客技术
我昏倒
作者: 1qazse4    时间: 2007-10-9 18:09
楼主们精神可加
  呵呵
      学习,我狂学习;呼吸,我狂呼吸!~!
作者: Jifucy1010    时间: 2007-12-27 14:00
正在学习 不是很清楚 安全测试方面的东西
作者: wangrong    时间: 2008-1-3 13:01
标题: 回复 10# 的帖子
偶的图片!刚发现也被你用了
作者: stoneonotherhil    时间: 2008-1-8 18:08
标题: 安全测试认证
各位有谁知道目前国内外跟安全测试的认证都有那些啊?
作者: fzw    时间: 2008-1-10 10:55
标题: 回复 33# 的帖子
11 常见的审核和日志记录漏洞



漏洞


影响


无法审核失败的登录
入侵企图得不到检测

无法确保审核文件的安全
攻击者可掩饰自己的攻击

无法跨应用程序层进行审核
增加了抵赖的风险
作者: i1521    时间: 2008-6-18 06:32
不错的内容,概要性的几方面,是安全检测的重要方面.根据国家标准,还有其他的安全性问题值得关注
作者: 兰兰    时间: 2008-8-4 16:19
安全性测试扫盲班,呵呵
作者: fsqlovehmx    时间: 2009-11-11 17:51
学习了。。。射射楼猪。。。。 ::zhuhe:::
作者: lanfish319    时间: 2010-3-9 11:26
谢谢分享
作者: cms198510    时间: 2010-6-13 16:46
谢谢lz辛苦了
作者: Drayce    时间: 2012-1-9 16:50
有《web安全测试》这本书的电子版吗?
作者: cherrycl2008    时间: 2012-3-3 17:15
07的资料,大家已经学习。我12年才刚刚开始,要走的路很长很长啊
作者: wr329805407    时间: 2012-4-16 14:20
不错
作者: jac312545    时间: 2017-11-24 17:28
来学习的




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2