安全測試淺析

web應用無處不在，存在于每個行業，現在的發展速度非?？焖?，且web應用在軟件開發中所扮演的角色不斷成長并且越來越重要，而現在，web應用遭受著格外多的安全攻擊，其原因在于，現在的網站以及在網站上運行的應用在某種意義上來說，它是所有公司或者組織的虛擬正門，所以比較容易遭受到攻擊，存在安全隱患

今天主要給大家分享下有關安全測試的一些知識點以及注意事項，主要是以下幾點：

1、安全測試的驗證點：

一個系統的安全驗證點，大致主要可以從以下來作為切入點，攻擊點（每個點例舉一兩個）：

1、上傳功能：

        上傳中斷，程序是否有判斷上傳是否成功

        上傳與服務器端語言（jsp/asp/php）一樣擴展名的文件或exe等可執行文件后，確認在服務器端是否可直接運行

2、注冊功能/登陸功能：

        請求是否安全傳輸

        重復注冊／登陸

        關鍵cookie是否httponly

        會話固定：利用session的不變機制，獲取他人認證和授權，然后冒充    

3 、驗證碼功能：

        短信轟炸

        驗證碼一次性

4、 忘記密碼：通過手機號／郵箱找回

        程序設計不合理，導致可以繞過短信驗證碼，從而進行修改（使用burpsuite抓包，修改響應值true）

5 、敏感信息泄漏：數據庫／日志／提示

6 、越權測試：

        不登陸系統，直接輸入下載文件的URL是否可以下載／直接輸入登錄后頁面的URL是否可以訪問

        手動更改URL中的參數值能否訪問沒有權限訪問的頁面

        不同用戶之間session共享，可以非法操做對方的數據

7 、錯誤信息：

        錯誤信息中釋放含有sql語句，錯誤信息以及web服務器的絕對路徑

8、 Session:

        退出登陸后，點擊后退按鈕是否能訪問之前的頁面

        主要歸結為以下幾點：（后期可以優化成一個安全測試的框架結構）

1、部署與基礎結構，2、輸入驗證，3、身份驗證，4、授權，5、配置管理，6、敏感數據，7、會話管理，8、加密，9、參數操作，10、異常管理，11、審核和日志安全，

2、結合實際情況（現有系統）發現的問題：

1、 日志/提示：在系統的初期，一般比較容易發現的問題就是在進行一些錯誤或者反向測試時，在頁面的提示中會出現帶有明顯的數據庫的表或者字段的打印，或者會出現一些敏感詞，日志里面類似密碼，卡號，身份證號沒有相應的明密文轉換，而這些敏感詞/明密文不互轉的存在，就會導致攻擊者能夠獲取到，從而進行簡單粗暴的攻擊，輕易的攻擊服務器或者數據庫，這就會危害到整個系統！

2 、重復性：大部分的web網站都會有注冊功能，而類似我們負責支付這塊也都會有開戶，就注冊跟開戶，基本上需求上都會有唯一性的校驗，在前端就會進行攔截，但如果使用jmter進行參數以及參數值的新增，有可能新增成功，就會導致頁面系統里面會出現相同數據，可能導致整個功能的出錯

3 、次數限制：類似發單，登錄或者短信，如果沒有進行相應的限制，如短信，沒有進行限制次數，攻擊者就會通過短信轟炸，攻擊系統，導致系統癱瘓，其他客戶就會使用不了該系統

4、 越權測試：（基本上大部分系統都沒有明確的寫出越權方面的需求）一個web系統，一般地址欄都會有參數的帶入，如：用戶號，訂單號或者是其他的一些參數，而在這個基礎上一個系統都會有很多用戶，或者很多等級，如：A大于B大于C，那我使用C用戶進行登錄，查看C用戶所屬的訂單，在地址欄中會有訂單號的參數帶入，如果系統沒有進行相應的限制，此時C用戶就可以修改訂單號從而可以看到B乃至A用戶的數據，這就可能導致數據的泄露，再者，如果可以修改用戶的用戶號，沒有做處理，這樣就可以對所有數據進行操作，整個系統就亂了，影響很大

5 、SQL注入/XSS攻擊：主要是輸入框的校驗/攔截以及是否轉義，如果沒有系統沒有對輸入的內容進行處理，那攻擊者就可以輸入一段SQL語句，或者一段代碼，在后臺進入到相應的功能，就會導致整個功能是錯亂的，其他正常用戶所提交的數據也查看操作不了，或者提交的代碼是死循環（">

），就會關閉不掉，所以這點是非常重要的

基本上上述的五點都是在測試中，系統真實存在，發生的問題，還有其他問題就不一一例舉了，其中越權跟SQL注入以及XSS攻擊都是重中之重！

3、克服的小困難：

上面所述的都是需要人工進行手動參與，且人力操作時不會那么飽滿全面，所以這是一個遇到的小問題，現在是有一個針對web系統進行漏洞掃描的工具:AWVS，它通過網絡爬蟲測試你的網站安全，檢測流行安全漏洞，針對漏洞主要分為四個等級：高危、中危，低危以及優化，它會進行內外鏈接的安全性，文件是否存在以及傳輸是否安全，也包含SQL注入跟XSS攻擊，輸入地址，用戶名密碼后，進行掃描完成后會展示相應的數據：漏洞的數量，漏洞的描述，建議性的修復；掃描網站的時長，文件數據量，環境信息等，較為全面！

4、安全測試的思路跟框架：

主要是分為：①部署與基礎結構，②輸入驗證，③/身份驗證（權限驗證），④敏感數據，⑤參數操作，⑥審核和日志安全；主要根據這六點來做到一個較為完整的思路

框架就是根據半手工，半自動來實現整個系統的驗證

5、目前存在的問題/需要優化的：

現在針對安全是半手工，半自動化，但都不是專業級，所以還在摸索階段，只能盡可能的去發現系統中存在的漏洞，且測試理論很難適用于安全領域；安全測試基礎理論薄弱,當前測試方法缺少理論指導，也缺乏更多的技術產品工具 ，同時，安全測試需要對系統所采用的技術以及系統的架構等進行分析，這方面也是較為薄弱的環節！

原文轉自：http://college.creditease.cn/#/detail/203