網站的安全測試

網站的安全測試        軟件測試

安全測試是什么

　　所謂安全性測試（security testing）是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。

注意：安全性測試并不最終證明應用程序是安全的，而是用于驗證所設立策略的有效性，這些對策是基于威脅分析階段所做的假設而選擇的。

 

WEB安全性測試

　　一個完整的WEB安全性測試可以從部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密、參數操作、異常管理、審核和日志記錄等幾個方面入手。

　　一、 安全體系測試

　　1、部署與基礎結構

　　網絡是否提供了安全的通信

　　部署拓撲結構是否包括內部的防火墻

　　部署拓撲結構中是否包括遠程應用程序服務器

　　基礎結構安全性需求的限制是什么

　　目標環境支持怎樣的信任級別

　　2、 輸入驗證

Ø        如何驗證輸入

　　1） 是否清楚入口點

　　2） 是否清楚信任邊界

　　3） 是否驗證Web頁輸入

　　4） 是否對傳遞到組件或Web服務的參數進行驗證

　　5） 是否驗證從數據庫中檢索的數據

　　6） 是否將方法集中起來

　　7） 是否依賴客戶端的驗證

　　8） 應用程序是否易受SQL注入攻擊

　　9） 應用程序是否易受XSS攻擊

Ø        如何處理輸入

　　3、 身份驗證

　　1）是否區分公共訪問和受限訪問

　　2）是否明確服務帳戶要求

　　3）如何驗證調用者身份

　　4）如何驗證數據庫的身份

　　5）是否強制試用帳戶管理措施

　　4、授權

　　1）如何向最終用戶授權

　　2）如何在數據庫中授權應用程序

　　3）如何將訪問限定于系統級資源

　　5、配置管理

　　1）是否支持遠程管理

　　2）是否保證配置存儲的安全

　　3）是否隔離管理員特權

　　6、 敏感數據

    1） 是否存儲機密信息

2） 如何存儲敏感數據

3）是否在網絡中傳遞敏感數據

4）是否記錄敏感數據

 

二、測試實施

1、 不登錄系統，直接輸入登錄后的頁面的url是否可以訪問

　　   2、不登錄系統，直接輸入下載文件的url是否可以下載，如輸入http://url/download?name=file是否可以下載文件file

　　   3、退出登錄后按后退按鈕能否訪問之前的頁面

　　   4.、ID/密碼驗證方式中能否使用簡單密碼。如密碼標準為6位以上，字母和數字混合，不能包含ID，連續的字母或數字不能超過n位

　　   5、重要信息（如密碼，身份證號碼，信用卡號等）在輸入或查詢時是否用明文顯示；在瀏覽器地址欄里輸入命令javascrīpt:alert(doucument.cookie)時是否有重要信息；在html源碼中能否看到重要信息

　　   6、手動更改URL中的參數值能否訪問沒有權限訪問的頁面。如普通用戶對應的url中的參數為l=e，高級用戶對應的url中的參數為l=s，以普通用戶的身份登錄系統后將url中的參數e改為s來訪問本沒有權限訪問的頁面

　　   7、url里不可修改的參數是否可以被修改

　　   8、上傳與服務器端語言（jsp、asp、php）一樣擴展名的文件或exe等可執行文件后，確認在服務器端是否可直接運行

　　   9、注冊用戶時是否可以以'--,' or 1=1 --等做為用戶名

　　   10、傳送給服務器的參數（如查詢關鍵字、url中的參數等）中包含特殊字符（','and 1=1 --,' and 1=0 --,'or 1=0 --）時是否可以正常處理

　　   11、執行新增操作時，在所有的輸入框中輸入腳本標簽（<scrīpt>alert("")</scrīpt>）后能否保存

　　12、在url中輸入下面的地址是否可以下載：http://url/download.jsp?file=C:\windows\system32\drivers\etc\hosts,http://url/download.jsp?file=/etc/passwd

　　   13、是否對session的有效期進行處理

　　   14、錯誤信息中是否含有sql語句、sql錯誤信息以及web服務器的絕對路徑等

　　   15、ID/密碼驗證方式中，同一個賬號在不同的機器上不能同時登錄

　　   16、ID/密碼驗證方式中，連續數次輸入錯誤密碼后該賬戶是否被鎖定

17、新增或修改重要信息（密碼、身份證號碼、信用卡號等）時是否有自動完成功能（在form標簽中使用autocomplete=off來關閉自動完成功能）

 

1、web平臺：web平臺軟件漏洞,包括Http底層服務軟件(比如，IIS或Apache)等底層基礎設施，以及應用程序開發框架(如Asp.Net或者PHP).

　　2、web應用：對授權、認證、站點結構、輸入驗證、程序邏輯以及管理接口進行攻擊。

　　3、數據庫：通過數據庫查詢進行特權命令，操縱查詢以返回額外的數據集，這里最具破壞性的攻擊是SQL注入。

　　4、web客戶端：活動內容執行、客戶端軟件漏洞攻擊、跨站腳本錯誤，以及釣魚欺騙

　　5、傳輸：竊聽客戶-服務器通信，SSL重定向

　　6、可用性：如果要你迅速地指出更危險的"黑客"技術，拒絕服務攻擊(denial of service,DoS)經常會被遺漏，其實DoS攻擊是任何可公開訪問的Web應用所面臨的最大威脅之一。讓任何資源都對公眾開放本來就有很大的挑戰，在網絡世界中更是如此。

        其中Open Web Application Security Project(owas)就是流行之一。

 

 

 

原文轉自：http://www.anti-gravitydesign.com