Web安全测试指南--会话管理

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

3、  已安装http拦截代理（burp、fiddler或webscarab均可）。

1、  开启burp，设置对http请求进行拦截，并在浏览器中配置代理。

2、  打开目标系统的登录页面，使用正确的用户名和密码提交登录，比如：

POST /login.php HTTP/1.1  #登录请求

Host: www.example.com

[other HTTP headers]

username=admin&password=123456

3、  将burp拦截到的登录请求转入burp sequencer。

4、  使用burp sequencer向目标系统快速大量地提交登录请求以获得批量session id，并将得到的session id保存到本地。

5、  使用文本编辑器打开保存session id的文件。

6、  检查所有session id的长度。

7、  检查所有session id的构成。

2、  所有session id都由数字、普通小写字符、普通大写字符和特殊字符中的2种组合而成。比如：6p331epl5hjserrcbrg5lgmhi6

2、  用于分析的token数量建议至少100个以上。

3、  Session id只是所有会话标记的统称，不同系统会话标记名称可能不一样，比如：jssessionid、sid和DDNSCOOKIE等。

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

3、  已安装http拦截代理（burp、fiddler或webscarab均可）。

1、  开启burp，设置对http请求进行拦截，并在浏览器中配置代理。

2、  打开目标系统的登录页面，使用正确的用户名和密码提交登录，比如：

POST /login.php HTTP/1.1  #登录请求

Host: www.example.com

[other HTTP headers]

username=admin&password=123456

3、  将burp拦截到的登录请求转入burp sequencer。

4、  使用burp sequencer向目标系统快速大量地提交登录请求以获得批量session id，并将得到的session id保存到本地。

5、  使用文本编辑器打开保存session id的文件。

6、  检查产生的token是否存在静态不变的部分，比如：

8d2pv839pgopg9q53lpb7qb7r5

8d2pv839v581o45rkhcg7qb7r5

7、  检查产生的token是否存在可预测的部分，比如：

5id92rgqhkvb1vtsic18075997

qnplhr8frbah41n9s028075998

jtqm4mi1i8r0r4fae138075999

8、  将token中静态不变以及可预测的部分删除，检查剩余部分是否满足会话复杂度要求（参考用例：“会话复杂度”）。

2、  用于分析的token数量建议至少100个以上。

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

3、  已安装http拦截代理（burp、fiddler或webscarab均可）。

1、  开启burp，设置对http请求进行拦截，并在浏览器中配置代理。

2、  打开目标系统的登录页面，使用正确的用户名和密码提交登录。

3、  在burp拦截到的http请求中检查是否存在会话标记（比如：session id），如果存在则记录下来，如果没有则测试结束（通过），比如：

POST /login.php HTTP/1.1  #登录请求

Host: www.example.com

Cookie: PHPSESSID=urvo14kd4ke4j5vef07t4edj43;

[other HTTP headers]

username=admin&password=123456

4、  释放提交被拦截的登录请求，直至登录成功。

5、  登录成功后，点击目标系统需要带cookie才能访问的任意功能。

6、  在burp拦截到的http请求中检查会话标记的值（一般在cookie中）。

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

3、  已安装http拦截代理（burp、fiddler或webscarab均可）。

4、  已明确区分出目标系统的关键性或敏感性操作（比如：删除数据库）。

1、  开启burp，设置对http请求进行拦截，并在浏览器中配置代理。

2、  使用正确账户名和密码登录目标系统。

3、  访问具有关键性或敏感性功能的页面，并点击提交请求（比如：删除数据库、重启设备等等）。

4、  在burp拦截到的GET/POST http请求中观察所有参数的值。

POST /db/delDB.jsp HTTP/1.1  #添加数据库

Host: www.example.com

[other HTTP headers]

dbName=users&token =5uvd5k97rqdpk698firq7g93s1

2、  “写”操作往往是关键性或敏感性操作的特征，比如：增、删和改，对于这类操作应予以特别的关注。

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

3、  已安装http拦截代理（burp、fiddler或webscarab均可）。

1、  开启burp，设置对http请求进行拦截，并在浏览器中配置代理。

2、  使用正确账户名和密码登录目标系统。

3、  检查目标系统是否存在注销功能，如果不存在，测试结束（不通过）。

4、  点击进入不同的功能页面，检查是否在所有页面都能很容易地看到或找到注销功能。

5、  点击目标系统需要带cookie才能访问的任意功能。

6、  将burp拦截到的http请求转入burp repeater。

7、  点击目标系统的注销功能登出账户。

8、  在burp repeater上重放步骤6拦截到的http请求，并观察结果。

2、  步骤8中，目标系统跳转到登录页面或者返回类似“未登录”的信息或者错误码。

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

1、  使用正确账户名和密码登录目标系统。

2、  打开任意需要登录才能访问的功能页面。

3、  在目标系统上闲置N分钟并且不进行任何操作。

4、  刷新步骤2的功能页面，并观察结果。

1、  目标系统使用登录会话机制。

2、  目标web应用可访问，业务正常运行。

1、  使用正确账户名和密码登录目标系统。

2、  打开任意需要登录才能访问的功能页面。

3、  等待N分钟（期间可进行除了注销以外的任意操作）。

4、  刷新步骤2的功能页面，并观察结果。

2、  会话绝对超时时间并非所有业务系统必须的，但安全性要求高的业务应当存在。

3、  N的值同样根据业务自身特性来决定。