51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 22794|回复: 32
打印 上一主题 下一主题

对appscan做了2天安全性测试后的总结

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2011-1-13 13:17:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
最近抽了2天时间研究了下appscan工具,针对登录这个简单的操作流程进行了下扫描。根据这2天对扫描结果的阅读和对安全性测试与业内人士的交流,下面总结了几点自己个人的想法(仅限于个人想法),呵呵!

1.appscan扫描出的问题
  1.跨站点脚本攻击(http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx
针对http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'><script>alert(1292)</script>&r=>"'><script>alert(1292)</script>&mobile=>"'><script>alert(1292)</script>&reqtype=>"'><script>alert(1292)</script>
进行改动,可以直接跳转到指定的网站
http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'><script>alert(1292)</script>&r=>"'><script>alert(1292)</script>&mobile=>"'><script>alert(1292)</script>&reqtype=>"'><script>window.location="http://www.baidu.com";</script>

2.检测到敏感文件和隐藏目录
  例如:http://g2.mail.10086ts.cn/addr/apiserver/
  这样的目录很多,修改的建议是:将 Web 服务器配置成拒绝列出目录

3.web应用程序源代码泄露
  扫描出部分js文件中含有程序源代码,例如;CookieUtils.js

4.SQL 盲注
  登录时,能扫描出用户的用户名和密码!但我查看了例如QQ,网易的邮箱登录后,利用抓包工具都能抓出“密码”出来!


2.APPSCAN使用问题
1.解决的问题
先前在web中,登录邮箱不能扫描到具体的模块,提示不在会话环境中。可以通过加域然后进行手动搜索来解决。例如在域中加入:g0.mail.10086ts.cn.
wap可以用开发提供的链接地址,然后手动搜索来扫描具体模块的URL

2.未解决的问题
扫描中,自动提示和推荐的记录两种扫描方式依然会报不在会话环境中。

3.困难
网上相关的appscan资料太少。做相关工作的人也不多。遇到问题没人咨询,感觉闭门造车。


3.  对安全性测试的认识:
1.安全性测试,其实应该在开发编程中就进行投入。例如在咱公司项目里程碑的基础上,加入安全性验证这环!做安全性,应该开发先具备安全编程的知识

2.appscan不足点:在开发编码完成后,才进行验证。已经错过了最佳修正时期

3.经过这次对appscan和安全性的研究,发现安全性测试是一个学习成本很高的东东!消耗时间相当长。首先你需要对编程知识有一定的了解,各门语言!然后对常规
漏洞攻击方式和攻击工具都具备一定的执行能力,例如:sql注入.跨站,XSS攻击。最主要的是对公司的代码有一定深度的了解,不然和开发交流的时候,不能使其信服。(不说比开发了解,但不能比开发差)。如果单只是用扫描工具进行扫描,自动生成报告,丢给开发,觉得安全性工作效果不大。

  4.扫描工具结果的理解!针对扫描出来的漏洞,单作为测试人员理解比较困难,需要经验的积累和知识的补给!appcan工具只是提供了一个安全改进的参考,重点还在于漏洞的修复

4.工作的改进
1.先前一直在做appscan的工具研究,忽视了安全性测试基础知识的巩固。
2.对公司各个模块的流程和代码,需要增强了解!不然对扫描结果的分析,仅停在表面程度上。
3.希望公司能提供一定的学习平台,一个人的学习毕竟局限性!效果太不明显。

ps:谁对安全性测试比较了解,请和我联系,想学习这块!
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏8
回复

使用道具 举报

  • TA的每日心情

    2015-2-10 16:10
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    推荐
    发表于 2013-7-12 10:51:29 | 只看该作者
    安全新进小白。。
    回复 支持 1 反对 0

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-8 19:23
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]测试师长

    2#
    发表于 2011-1-16 10:57:49 | 只看该作者
    安全策略很重要
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2011-1-19 14:47:15 | 只看该作者
    我用这个软件用了好几 天了,有时间和你交流
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2011-1-21 16:30:19 | 只看该作者
    分析的很到位。安全测试是个长期学习的过程。知识面很广
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5#
    发表于 2011-3-4 12:20:36 | 只看该作者
    这几天有安全性测试方面的项目,使用APPSCAN 8.0进行测试。。。


    共同学习啊,,
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2011-5-15 15:44:26 | 只看该作者
    谢谢,希望能多给些我这种新手建议。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2011-6-6 23:20:17 | 只看该作者
    4.SQL 盲注
      登录时,能扫描出用户的用户名和密码!但我查看了例如QQ,网易的邮箱登录后,利用抓包工具都能抓出“密码”出来!


    2.APPSCAN使用问题
    1.解决的问题
    先前在web中,登录邮箱不能扫描到具体的模块,提示不在会话环境中。可以通过加域然后进行手动搜索来解决。例如在域中加入:g0.mail.10086ts.cn.
    wap可以用开发提供的链接地址,然后手动搜索来扫描具体模块的URL

    2.未解决的问题


    先简单回答下,你的测试,没有登陆成功,可以参照下login expert这个小工具,其可以辅助AppScan工作,看如何设置登陆,哪些参数需要关联等。
    安全测试,工具是实现思想的手段,了解下安全测试的领域知识是很需要的。
    扫描中,自动提示和推荐的记录两种扫描方式依然会报不在会话环境中
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-8 19:23
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]测试师长

    8#
    发表于 2011-6-9 21:32:12 | 只看该作者
    的确和性能测试一样,工具只是帮你完成你要做的事,你要怎么做,还是得先搞清楚
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-25 10:57
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    9#
    发表于 2011-6-24 14:09:06 | 只看该作者
    也在做呵呵。。。。巧合。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2015-11-30 13:55
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    10#
    发表于 2011-9-2 14:38:39 | 只看该作者
    AppScan 资料的确比较少,我也在找!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2011-12-5 14:56:42 | 只看该作者
    无头绪学习中
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    12#
    发表于 2011-12-23 17:24:18 | 只看该作者
    学习中
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    13#
    发表于 2012-1-9 14:14:35 | 只看该作者
    安全测试确实需要长期作战,一个人自学感觉效率不是很高!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    14#
    发表于 2012-3-1 11:22:44 | 只看该作者
    回复 1# cm5122590
    也在进行安全性测试的研究。希望可以一起探讨下。。QQ:594189019
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2015-8-24 14:34
  • 签到天数: 18 天

    连续签到: 1 天

    [LV.4]测试营长

    15#
    发表于 2012-12-24 10:50:45 | 只看该作者
    回复 14# zhuhongbao


    楼上的QQ加不了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-4-18 19:23
  • 签到天数: 189 天

    连续签到: 1 天

    [LV.7]测试师长

    16#
    发表于 2013-6-5 15:13:09 | 只看该作者
    都互相学习下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    18#
    发表于 2013-7-12 11:28:13 | 只看该作者
    appscan就不需要什么所谓的学习资料,问题都是在于你并不知道所谓的安全策略是什么,工具帮你自动做了,你自然不明白为啥是个漏洞。

    上手直接用工具就是这样的,多学学安全知识吧。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-2-2 12:43
  • 签到天数: 630 天

    连续签到: 1 天

    [LV.9]测试副司令

    19#
    发表于 2014-1-16 16:03:53 | 只看该作者
    看了几天,确实觉得难以着手啊,还得继续努力
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    20#
    发表于 2014-1-22 16:43:18 | 只看该作者
    其实appscan的标准版真的好简单,有什么问题看帮助都能解决,帮助文档写得非常的详细
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-23 04:49 , Processed in 0.082454 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表