Web安全测试FAQ

测试积点老人

【FAQ1：如何查看源文件？】
问题描述：如何查看源文件？
解决方案：
1. 一般情况下：在web页面点击右键，在右键菜单中选择“查看源文件”选项。
2. 该web页面的右键功能被锁定：在浏览器的主菜单中找到“查看”，在其下拉列表中选择“查看源代码”选项；
3．该web页面采用没有主菜单的框架设计：建议使用带有“解除右键锁定”插件的浏览器，例如使用遨游浏览器（Maxthon），可以安装其鼠标解锁插件（EnableRightClick）。

【FAQ2：框架类型的web，如何获得主页面的真实URL？】
问题描述：框架类型的web，浏览器地址栏中显示的URL一般不是主页面的实际URL，如何获得主页面的真实URL？
解决方案：开启webscarab，使用代理，拦截GET和POST类型的HTTP请求，可以获得所有操作过程中涉及的URL。

【FAQ3：为什么在地址栏输入URL，有时可以正常打开页面，有时候不能？】
问题描述：为什么在地址栏输入URL，有时可以正常打开页面，有时候不能？
原因分析：这种情况并不是真正的通过URL绕过鉴权的安全漏洞。由于浏览器会自动记录会话ID（SessionID），即使关闭了访问原web的tab页，只要不关闭浏览器本身，这些会话ID依然不会清空，这时输入URL，它会继承前次会话ID。
解决方案：记录URL后，关闭浏览器重启，或使用其他浏览器，然后再在地址栏内输入URL进行访问。

【FAQ4：为什么有些输入数据，在提交时，HTTP代理（如webscarab）却拦截不到呢？】
问题描述：为什么有些输入数据，在提交时，HTTP代理（如webscarab）却拦截不到呢？
原因分析：目前有些web使用了AJAX技术，当用户在页面的一些输入域中输入数据时，AJAX会自动在后台发送这些数据。如果测试者在填写完所有的输入域后，再配置HTTP代理，那么，在这之前通过AJAX提交的数据就拦截不到了。
解决方案：建议在填写数据前就配置webscarab代理。

【FAQ5：当产品由于特殊原因（比如客户需求、特殊的应用场景），无法满足《Web安全测试规范》的一些安全性要求时，应该怎么办？】
问题描述：当产品由于特殊原因（比如客户需求、特殊的应用场景），无法满足《Web安全测试规范》的一些安全性要求时，应该怎么办？
解决方案：请准备好相关材料和说明，联系安全测试小组（何伟祥）讨论出具体实施方案。

【FAQ6：AppScan对登陆页面含有验证码的Web应用无法进行扫描】
问题描述：由于会话超时或主动注销，导致会话ID失效，AppScan无法再对需要登录才能访问的URL进行扫描。
解决方案：录制登录之后，在scan configuration设置中，对login management下保存的参数中的会话ID进行设置，取消掉对JSESSIONID的tracking。这样再进行扫描就不会出现会话超时了