Web 安全测试培训

WebWebWebWeb安全测试安全测试安全测试安全测试HimanHimanHimanHimanAboutMeAboutMeAboutMeAboutMeID:HimanID:HimanID:HimanID:HimanName:LeeXueQingName:LeeXueQingName:LeeXueQingName:LeeXueQingCompany:360buy.comCompany:360buy.comCompany:360buy.comCompany:360buy.comResponsibilityResponsibilityResponsibilityResponsibility：：：：websecuritywebsecuritywebsecuritywebsecurityMail:Mail:Mail:Mail:winner__1@sohu.comwinner__1@sohu.comwinner__1@sohu.comwinner__1@sohu.comNewsNewsNewsNewsNewsNewsNewsNews小叮当小叮当小叮当小叮当信息安全的现状•信息安全环境越来越复杂•黑客攻击越来越容易•漏洞利用速度越来越快•地下黑色产业链越来越庞大地下黑客产业链地下黑客产业链Web安全测试的意义1、增强网站的健壮性2、预防非法用户的攻击3、保护使用者的安全4、使非法侵入的代价超过被保护信息的价值9Web安全测试的方法•SQL注入•跨站脚本（XSS）•失效的身份认证和会话管理•不安全的直接对象引用•跨站请求伪造（CSRF）•安全配置错误（新）•不安全的加密存储•没有限制URL访问•传输层保护不足•未验证的重定向和转发（新）Web安全测试的方法•地址栏关键字段加密•网站地址暴库•无过滤的上传功能•登录信息提示•提交请求防重入•网页脚本错误SQL注入Web应用程序执行来自外部包括数据库在内的恶意指令，SQLInjection与CommandInjection等攻击包括在内。如果没有阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问，在Web表单中输入的内容应该保持简单，并且不应包含可被执行的代码。SQL注入测试对象：•可以进行传参的URL=81and1=2=1XSS跨站攻击Web应用程序直接将来自用户的执行请求送回浏览器执行，使得攻击者可截取用户的Cookie或Session数据而能假冒直接登入为合法使用者。XSS跨站攻击测试对象：•可以进行传参的URL•网页中可进行输入的表单=scriptalert('xss')/script=%3cscript%3ealert('xss')%3c%2fscript%3e注：IE6浏览器对跨站拦截不彻底！失效的身份认证和会话管理只对首次传送的Cookie加以验证，程序没有持续对Cookie中内含信息验证比对，攻击者便可修改Cookie中的重要信息，以提升权限进行网站数据存取，或是冒用他人账号取得个人私密资料。失效的身份认证和会话管理测试对象：•可以进行传参的URL•提交请求页面•登录后的cookie=a04d85503e040cbc7e2fe048ff7104ce不安全的直接对象引用在具导出/下载功能的页面参数中修改内容，WEB服务器便会导出/下载程序源代码或者指定文件。不安全的直接对象引用测试对象：URL中有用户参数的地址可以进行下载操作的地址=1586=/../../../../../../../../boot.ini%00.htm跨站伪造请求攻击者通过调用第三方网站的恶意脚本来伪造请求，在用户不知情时攻击者强行提交构造的具有“操作行为”的数据包跨站伪造请求测试对象：•网页中可进行输入的表单•网页中地址栏进行传参的地址安全配置错误这些漏洞会导致系统完全被攻破。错误安全配置可以发生在一个应用程序堆栈的任何层面，包括平台、Web服务器、应用服务器、框架和自定义代码。安全配置错误测试对象：多级目录地址网站报错的页面://collegial.360buy.com/collegial/userlogin/user_admin_login.aspx所有的错误都只显示友好信息，不显示任何与实际错误相关的信息不安全的加密存储常见的问题是不安全的密钥生成和储存、不轮换密钥，和使用弱算法。使用弱的或者不带salt的哈希算法来保护密码也很普遍。外部攻击者因访问的局限性很难探测这种漏洞。他们通常必须首先破解其他东西以获得需要的访问。不安全的加密存储测试对象：敏感字段的数据库存储身份证、密码、信用卡、个人信息在数据库中存储需要加密存放没有限制URL访问系统已经对URL的访问做了限制，但这种限制却实际并没有生效。攻击者能够很容易的就伪造请求直接访问未被授权的页面。没有限制URL访问测试对象：需要身份验证的页面传输层保护不足在身份验证过程中没有使用SSL/TLS，因此暴露传输数据和会话ID，被攻击者截听。它们有时还会使用过期或者配置不正确的证书。传输层保护不足测试对象：网站登录模块未验证的重定向和转发攻击者可以引导用户访问他们所要用户访问的站点。而最终造成的后果，重定向会使得用户访问钓鱼网站或是恶意网站未验证的重定向和转发测试对象：测试对象：测试对象：测试对象：•有重定向的页面有重定向的页面有重定向的页面有重定向的页面===20230002地址栏加密地址栏中会透露出用户的敏感信息，使外界人员很容易搜集到有效信息地址栏加密测试对象：带参数的地址=%CC%D4%B1%A6QA&f=8&wd=%C6%BB%B9%FB&暴库（%5C）通过编码将数据非法下载到本地。通过数据得到网站用户的隐私信息，甚至得到服务器的最高权限。暴库（%5C）测试对象：带参数的地址无过滤的上传功能上传文件时容易出现不过滤文件类型的错误，从而导致一些无效文件被上传成功，严重时出现木马文件被上传成功，并完全控制服务器。无过滤的上传功能测试对象：具有上传功能的模块（有病毒的文件上传）登录提示信息用户登录提示信息会给攻击者一些有用的信息，作为程序的开发人员应该做到对登录提示信息的模糊化，以防攻击者利用登录得知用户是否存在登录提示信息测试对象：•登录页面的提示信息重复提交请求程序员在代码中没有对重复提交请求做限制，这样就会出现订单被多次下单，帖子被重复发布。恶意攻击者可能利用此漏洞对网站进行批量灌水，致使网站瘫痪重复提交请求测试对象：•提交请求的按钮填写完必填项后，重复点击发请求的按钮网页脚本错误访问者所使用的浏览器不能完全支持页面里的脚本，形成“脚本错误”，也就是网站中的脚本没有被成功执行。遇到“脚本错误”时一般会弹出一个非常难看的脚本运行错误警告窗口网页脚本错误测试对象：•所有页面对要上线的所有页面进行检查，网页中禁止出现脚本错误Commnets:IE6对脚本的支持稍差Q&ATheEnd