WEB安全性测试

WEB的安全性测试主要从以下方面考虑

  1.SQL Injection(SQL注入)

(1)如何进行SQL注入测试?

  • 首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等.

注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递.在<FORM> 和</FORM>的标签中间的每一个参数传递都有可能被利用.


<form id="form_search" action="/search/" method="get">

<div>

<input type="text" name="q" id="search_q" value="" />

<input name="search" type="image" src="/media/images/site/search_btn.gif" />

<a href="/search/" class="fl">Gamefinder</a>

</div>

</form>

注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如HTTP://DOMAIN/INDEX.ASP?ID=10

  • 其 次,在URL参数或表单中加入某些特殊的SQL语句或SQL片断,如在登录页面的URL中输入HTTP://DOMAIN /INDEX.ASP?USERNAME=HI‘ OR 1=1--

注1:根据实际情况,SQL注入请求可以使用以下语句:

‘ or 1=1- -

" or 1=1- -

or 1=1- -

‘ or ‘a‘=‘a

" or "a"="a

‘) or (‘a‘=‘a 
   注2:为什么是OR,
以及‘,――是特殊的字符呢?

例子:在登录时进行身份验证时,通常使用如下语句来进行验证:sql=select * from user
where username=‘username‘ and pwd=‘password‘

如 输入http://duck/index.asp?username=admin‘
or 1=‘1&pwd=11,SQL语句会变成以下:sql=select * from user where
username=‘admin‘ or 1=‘1‘ and password=‘11

‘ 与admin前面的‘组成了一个查询条件,即username=‘admin‘,接下来的语句将按下一个查询条件来执行.

接 下来是OR查询条件,OR是一个逻辑运 算符,在判断多个条件的时候,只要一个成立,则等式就成立,后面的AND就不再时行判断了,也就是 说我们绕过了密码验证,我们只用用户名就可以登录.

如 输入http://duck/index.asp?username=admin‘--&pwd=11,SQL语 句会变成以下sql=select * from
user where name=‘admin‘ --‘ and pasword=‘11‘,

‘与admin前面的‘组成了一个查 询条件,即username=‘admin‘,接下来的语句将按下一个查询条件来执行
 接下来是"--"查询条件,“--”是忽略或注释,上 述通过连接符注释掉后面的密码验证(注:对ACCESS数据库无 效).
  • 最后,验证是否能入侵成功或是出错的信息是否包含关于数据库服务器
    的相关信息;如果 能说明存在SQL安 全漏洞.
  • 试想,如果网站存在SQL注入的危险,对于有经验的恶意用户还可能猜出数据库表和表结构,并对数据库表进行增\删\改的操
    作,这样造成的后果是非常严重的.

(2)如何预防SQL注入?

从应用程序的角度来讲,我们要做以下三项工作:

  • 转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”).
  • 屏蔽出错信息:阻止攻击者知道攻击的结果
  • 在服务端正式处理之前提交数据的合法性(合法性检查主要包括三 项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客 户端的输入合法之前,服务端拒绝进行关键性的处理操作.

从测试人员的角度来讲,在程序开发前(即需求阶段),我们就应该有意识的将安全性检查应用到需求测试中,例如对一个表单需求进行检查时,我们一般检验以下几项安全性问题:

  • 需求中应说明表单中某一FIELD的类型,长度,以及取值范围(主要作用就是禁止输入敏感字符)
  • 需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序应给出不包含任何代码或数据库信息的错误提示.

当然在执行测试的过程中,我们也需求对上述两项内容进行测试.

 2.Directory Traversal(目录遍历)
   (1)如何进行目录遍历测试?

  • 目录遍历产生的原因是:程序中没有过滤用户输入的“../”和“./”之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。
  • 测试方法:在URL中输入一定数量的“../”和“./”,验证系统是否ESCAPE掉了这些目录跳转符。

(2)如何预防目录遍历?

  • 限制Web应用在服务器上的运行
  • 进 行严格的输入验证,控制用户输入非法路径

3.exposed error
messages(错误信息)
  (1)如何进行测试?

  • 首 先找到一些错误页面,比如404,或500页面。
  • 验证在调试未开通过的情况下,是否给出了友好的错误提示信息比如“你访问的页面不存 在”等,而并非曝露一些程序代码。

(2)如何预防?

    • 测试人员在进行需求检查时,应该对出错信息 进行详细查,比如是否给出了出错信息,是否给出了正确的出错信息。

4.exposed error messages(错误信息)

时间: 2024-10-15 06:45:04

WEB安全性测试的相关文章

web安全性测试——XSS跨站攻击

1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种.其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本.这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本. 一个永远关不掉的窗口while (true) { alert("你关不掉我~"); } CSRF:跨站请求伪造(Cross-site request

web安全性测试用例

建立整体的威胁模型,测试溢出漏洞.信息泄漏.错误处理.SQL 注入.身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:[email protected]#$%^&*()_+<>:"{}| 4.输入中英文空格,输入字符串中间含空格,输入首尾空格 5

12个强大的Web服务测试工具

在过去的几年中,web服务或API的普及和使用有所增加. web服务或API是程序或软件组件的集合,可以帮助应用程序进行交互或通过形成其他应用程序或服务器之间的连接执行一些进程/事务处理.基本上有两种类型的web服务——基于互联网协议,REST和SOAP推动数据和信息的通讯. 由于这些web服务暴露于网络并且分布于不同的网络,所以它们很容易受到风险和安全威胁,从而影响基于它们的进程.因此,web服务或API测试非常有必要,可以确保它们执行正确并正确地响应查询. 市场上有不少商业和开源的测试工具可

安全性测试AppScan工具使用实战20150920

Appscan是做安全性测试的一款工具,网上资料比较少,项目需要做安全性测试,用它做了web的扫描,可以发现一些问题,并且有原因分析和修复建议,感觉还不错,现在演示下它的使用: 1.打开工具,点击[文件]下的[新建],来打开新建扫描页面 2.一般我们选择[常规扫描],当然也可以根据需要来定义写模板,我是建议团队一起制定一个模板比较好,可以减少误报率和扫描时间 3.根据配置向导配置,选择扫描类型,[web Service扫描]需要下载其他组件,我们这里选[web 应用程序扫描] 4.URL地址就是

Web Service测试工具SOAPSonar免费下载及使用教程

原文来自龙博方案网http://www.fanganwang.com/product/1403 SOAPSonar是领先的服务测试和诊断解决方案,世界上有超过40,000份部署应用.SOAPSonar为基于HTTP,HTTPs, MQ 和 JMS协议的SOAP, XML, 和REST服务提供简单.直观和综合的测试.SOAPSonar测试框架容易部署,并提供功能.性能.一致性和安全性测试. 自始自终,Crosscheck Networks 都将SOAPSonar设计为综合的测试解决方案,在服务开发

Web安全测试指南--认证

认证: 5.1.1.敏感数据传输: 编号 Web_Authen_01_01 用例名称 敏感数据传输保密性测试 用例描述 测试敏感数据是否通过加密通道进行传输以防止信息泄漏. 严重级别 高 前置条件 1.  已明确定义出敏感数据范围(比如口令.短信验证码和身份证号等). 2.  目标web应用可访问,业务正常运行. 3.  已安装http拦截代理(burp.fiddler或webscarab均可). 执行步骤 1.  开启burp,设置对http请求进行拦截,并在浏览器中配置代理. 2.  访问w

代码审计:安全性测试方案

安全性测试方案 一.静态代码测试 主要通过对源代码进行安全扫描,根据程序中数据流.控制流.语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞.   代码审计工具RIPS:   介绍:RIPS是一个用php编写的源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞.渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码.由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认.RIPS能够检测XSS, SQL注入, 文件泄露,Hea

代码审核:安全性测试方案

安全性测试方案 一.静态代码测试 主要通过对源代码进行安全扫描,根据程序中数据流.控制流.语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞.   代码审计工具RIPS:   介绍:RIPS是一个用php编写的源代码分析工具,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞.渗透测试人员可以直接容易的审阅分析结果,而不用审阅整个程序代码.由于静态源代码分析的限制,漏洞是否真正存在,仍然需要代码审阅者确认.RIPS能够检测XSS, SQL注入, 文件泄露,Hea

web安全测试---AppScan扫描工具(转)

安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉. 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意.不管是开发还是测试都不太关注产品的安全.当然,这也不能怪我们苦B的“民工兄弟”.因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行.一方面出于侥幸心理.谁没事会攻击我? 关于安全测试方面的资料也很少,很多人所知道的就是一本书,一个工具. 一本书值<web安全测试>,这应该是安全测试领域维数不多又被大家熟知的安全测试书,我曾看过前面几个章节,唉,