51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 4662|回复: 10
打印 上一主题 下一主题

喵咪浏览器在Web安全领域的测试(一)

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2013-2-25 17:02:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 cedar 于 2013-2-26 12:57 编辑

概述
喵喵咪咪工作室制作了喵咪浏览器主要用于Web安全测试领域
现在中国测试行业的安全测试现状
在网络上跟一些人交流了下关于安全性测试的问题.
发现在阶段大部份测试人员在进行安全性测试过程中, 还仅仅是使用工具对Web应用进行安全性扫描.
现在很多安全性扫描的工具都做的非常强大.扫描也比较全面.操作简单,仅仅按几个按钮后.只要等一段时间.就可以完成测试.并把测试结果罗列出来
但仔细想想,这些结果就是我们测试人员所需要的么?
其实,在扫描完,得出这些测试结果后,我们都会有这样的疑问.为什么会有SQL注入,为什么会有跨站攻击.为什么我平时用的时候,没有留意到这些安全漏洞呢?
很多的问题都会产生.原因是什么?
是因为,我们在测试过程中,完全是按照开发人员所提供的操作流程,信息提示进行测试和操作的.
比如:输入身份证号码中,输入了20位的数字,页面就会提示,输入身份证不合法,让用户重新输入.
测试人员会按照Web页面的思路继续进行操作.并没有考虑到页面的提示信息仅仅是浏览器所发出的,并不是Web应用程序所提示的.
Javascript的异常判断,限制了测试人员的操作行为.
又比如,在测试页面登录中,测试人员常常会问,为什么我没发现这个登录有SQL注入.因为,在用户输入特殊字符的时候,页面程序将其过滤掉了.
但所有的这些并不是后台的Web的处理过程.
测试工具目的
综上所述,安全性测试在现阶段中完全是测试工具的自动行为,缺乏人为介入的手工性测试.
而对于手工性的安全测试,缺乏测试工具的辅助. 因此,开发了该工具,来完成测试人员手动的安全性测试.
测试工具介绍
主要功能为修改页面存在的JS数据。
发送自定义的POST请求。
界面为左侧的显示区域和右侧的用户测试区域:

程序启动后,可以在左侧的浏览器区域输入URL,并进行访问。若当页面存在POST的请求时会出现提示对话框,如下图:

用户可以对POST请求发送的信息进行编辑。编辑后按确定发送,或取消不发送。


页面打开后:
右侧的用户测试区,对应着:
  • JS注入:修改JS的功能
  • POST请求发送:发送自定义POST请求功能
  • 脚本与参数:可以编写自动循环发送的POST或GET请求
  • 常用工具:列举了常用到的BASE64,URLencode,MD5和随机信息的生成。



JS注入在测试中的使用
Javascript主要有用于修改页面中的JS和页面元素
1.修改页面元素
  1. document.getElementById("id").value='123';
复制代码

这种类型的语句对页面参数进行修改,value可以赋值未为任何非法值,如sql注入类型的
  1. ' or 1=1 or '
复制代码

将这类的数据可以提交到表单,用于测试是否存在SQL注入的漏洞

2.修改页面中已存在的Javascript
用户可以将注入的JS function的名称写的与页面已经存在的JS名称相同.
这样,新注入的function将会把页面中存在的function覆盖.
若,某个JS是用于提交校验的行为,覆盖后,该校验行为就不在存在了

3.模拟ajax请求
用户模拟一些ajax请求,请求中的内容可以使非法的或是异常的,看服务器给与什么样的响应。

自定义POST请求在测试中的使用
用户可以在这里修改POST请求中所需要的参数。
可以修改部分:
Herf,Cookie,请求头,请求方法,请求地址,请求内容

自动测试脚本的编写
目的自动运行POST请求或GET请求的测试项目,可以循环执行。对应的语法如下:
关键字列表
  1. POST,GET,NewSession,BrowerSession,OUT,INT,STRING,SET,FOR,TO,NEXT
复制代码

基本语法
每行有;分号作为结尾,每个关键字,每行只出现一次
不同字区之间为空格,不能出现两个空格

POST语法
  1. POST url param;
复制代码


Url = 需要访问的url地址
Param= POST 请求需要带的参数

GET语法
  1. GET url;
复制代码


Url = 需要访问的url地址


NewSession语法
  1. NewSession;
复制代码
创建一个新的Session请求


BrowerSession语法
  1. BrowerSession;
复制代码

从喵咪浏览器继承一个Session请求
OUT语法
  1. OUT 1234;
复制代码
输出显示1234

  1. OUT i;
复制代码

输出显示变量i


INT语法
  1. INT i;
复制代码
定义变量i
  1. SET i=10;
复制代码

给i赋值为10


STRING语法
  1. STRING s;
复制代码

定义变量s;
  1. SET s=abcd;
复制代码

给s赋值abcd,注意没有"引号

FOR,TO,NEXT语法
为循环语句
  1. FOR i TO 20;
  2. OUT i;
  3. NEXT i;
复制代码

循环语句
循环主体,可以用GET,POST替换
变量i增加1

ReturnPage语法
  1. ReturnPage;
复制代码

显示上一次POST或GET请求的返回页面;
程序下载和安装

下载安装地址:http://211.99.249.32/CatExplorer/publish.htm

结束语

这个工具并不能说彻底的开发编写完成,很多功能还十分的简陋。
自动脚本的编写也不那么正规化。
实际上后续的工作主要是:
  • 检验这个工具在实际的安全测试中所使用的效果
  • 根据使用效果继续修改该工具
  • 继续根据不同的项目编写对应的测试案例

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情
    奋斗
    2016-4-18 19:23
  • 签到天数: 189 天

    连续签到: 1 天

    [LV.7]测试师长

    2#
    发表于 2013-6-5 11:34:24 | 只看该作者
    这个好用吗?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2013-8-4 01:17:14 | 只看该作者
    好贴,一定不要放过,顶












    度假社(http://www.dujiashe.com/)提供国内外酒店预订,酒店报价查询,提供数十万家酒店、宾馆、客栈、连锁酒店、高端酒店、精品酒店的实时比价服务。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-5-8 19:23
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]测试师长

    4#
    发表于 2013-8-11 11:56:15 | 只看该作者
    看看怎么样,有点意思
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-3-15 15:34
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    5#
    发表于 2013-10-12 14:25:11 | 只看该作者
    怎么还要注册码。能发一个给我吗?408381950@qq.com
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6#
    发表于 2013-12-5 16:08:10 | 只看该作者
    有意思
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2014-1-3 16:02:25 | 只看该作者
    好东西啊,谢谢
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8#
     楼主| 发表于 2014-2-14 15:57:39 | 只看该作者
    该浏览器已经停止更新,注册码发放,请不要再与我联系.谢谢各位.
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2014-12-26 21:31
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    9#
    发表于 2014-3-11 14:10:55 | 只看该作者
    怎么还要注册码。能发一个给我吗?
    chen408381950 发表于 2013-10-12 14:25


    你好,请问你找到了注册码不?可以分享下不?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-12-31 08:59
  • 签到天数: 975 天

    连续签到: 1 天

    [LV.10]测试总司令

    10#
    发表于 2014-3-12 11:58:50 | 只看该作者
    看看
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2018-5-15 18:25
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    11#
    发表于 2014-5-22 12:37:40 | 只看该作者
    xiexie 分享!
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 15:14 , Processed in 0.088990 second(s), 29 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表