杭州高级软件测试培训

Web安全测试必须注意的五个方面 - 51Testing软件测试网

Web安全测试必须注意的五个方面

发表于：2019-7-26 10:39  作者：佚名   来源：IT技术猿圈

软件测试技术 Web测试 　　随着互联网的飞速发展，web应用在软件开发中所扮演的角色变得越来越重要，同时，web应用遭受着格外多的安全攻击，其原因在于，现在的网站以及在网站上运行的应用在某种意义上来说，它是所有公司或者组织的虚拟正门，所以比较容易遭受到攻击，存在安全隐患。　　今天主要给大家分享下有关安全测试的一些知识点以及注意事项。　　一、安全测试的验证点　　一个系统的安全验证点包括上传功能、注册功能/登陆功能、验证码功能、密码、敏感信息泄露、越权测试、错误信息、session等。　　1、上传功能　　上传中断，程序是否有判断上传是否成功　　上传与服务器端语言(jsp/asp/php)一样扩展名的文件或exe等可执行文件后，确认在服务器端是否可直接运行　　2、注册功能/登陆功能　　请求是否安全传输　　重复注册/登陆　　关键cookie是否httponly　　会话固定：利用session的不变机制，获取他人认证和授权，然后冒充　　3 、验证码功能　　短信轰炸　　验证码一次性　　4、 忘记密码　　通过手机号/邮箱找回　　程序设计不合理，导致可以绕过短信验证码，从而进行修改(使用burpsuite抓包，修改响应值true)　　5 、敏感信息泄漏　　数据库/日志/提示　　6 、越权测试　　不登陆系统，直接输入下载文件的URL是否可以下载/直接输入登录后页面的URL是否可以访问　　手动更改URL中的参数值能否访问没有权限访问的页面　　不同用户之间session共享，可以非法操做对方的数据　　7 、错误信息　　错误信息中释放含有sql语句，错误信息以及web服务器的绝对路径　　8、 Session　　退出登陆后，点击后退按钮是否能访问之前的页面　　主要归结为以下几点：(后期可以优化成一个安全测试的框架结构)　　部署与基础结构　　输入验证　　身份验证　　授权　　配置管理　　敏感数据　　会话管理　　加密　　参数操作　　异常管理　　审核和日志安全，　　二、结合实际情况(现有系统)发现的问题　　1、日志/提示　　在系统的初期，一般比较容易发现的问题就是在进行一些错误或者反向测试时，在页面的提示中会出现带有明显的数据库的表或者字段的打印，或者会出现一些敏感词，日志里面类似密码，卡号，身份证号没有相应的明密文转换，而这些敏感词/明密文不互转的存在，就会导致攻击者能够获取到，从而进行简单粗暴的攻击，轻易的攻击服务器或者数据库，这就会危害到整个系统!　　2、重复性　　大部分的web网站都会有注册功能，而类似我们负责支付这块也都会有开户，就注册跟开户，基本上需求上都会有唯一性的校验，在前端就会进行拦截，但如果使用jmter进行参数以及参数值的新增，有可能新增成功，就会导致页面系统里面会出现相同数据，可能导致整个功能的出错。　　3、次数限制　　类似发单，登录或者短信，如果没有进行相应的限制，如短信，没有进行限制次数，攻击者就会通过短信轰炸，攻击系统，导致系统瘫痪，其他客户就会使用不了该系统。　　4、越权测试　　(基本上大部分系统都没有明确的写出越权方面的需求)一个web系统，一般地址栏都会有参数的带入，如：用户号，订单号或者是其他的一些参数，而在这个基础上一个系统都会有很多用户，或者很多等级，如：A大于B大于C，那我使用C用户进行登录，查看C用户所属的订单，在地址栏中会有订单号的参数带入，如果系统没有进行相应的限制，此时C用户就可以修改订单号从而可以看到B乃至A用户的数据，这就可能导致数据的泄露，再者，如果可以修改用户的用户号，没有做处理，这样就可以对所有数据进行操作，整个系统就乱了，影响很大。　　5、SQL注入/XSS攻击　　主要是输入框的校验/拦截以及是否转义，如果没有系统没有对输入的内容进行处理，那攻击者就可以输入一段SQL语句，或者一段代码，在后台进入到相应的功能，就会导致整个功能是错乱的，其他正常用户所提交的数据也查看操作不了，或者提交的代码是死循环(">)，就会关闭不掉，所以这点是非常重要的。　　基本上上述的五点都是在测试中，系统真实存在，发生的问题，还有其他问题就不一一例举了，其中越权跟SQL注入以及XSS攻击都是重中之重!　　三、克服的小困难　　上面所述的都是需要人工进行手动参与，且人力操作时不会那么饱满全面，所以这是一个遇到的小问题。现在有一个针对web系统进行漏洞扫描的工具:AWVS，它通过网络爬虫测试你的网站安全，检测流行安全漏洞，针对漏洞主要分为四个等级：高危、中危，低危以及优化，它会进行内外链接的安全性，文件是否存在以及传输是否安全，也包含SQL注入跟XSS攻击，输入地址，用户名密码后，进行扫描完成后会展示相应的数据：漏洞的数量，漏洞的描述，建议性的修复;扫描网站的时长，文件数据量，环境信息等，较为全面!　　四、安全测试的思路跟框架　　主要根据以下六点来实现一个较为完整的安全测试的思路，框架就是根据半手工、半自动来实现整个系统的验证。　　部署与基础结构　　输入验证　　/身份验证(权限验证)　　敏感数据　　参数操作　　审核和日志安全;　　五、目前存在的问题/需要优化的　　现在的安全测试大多是半手工、半自动化，但都不是专业级，所以还在摸索阶段，只能尽可能地去发现系统中存在的漏洞，且测试理论很难适用于安全领域;　　安全测试基础理论薄弱,当前测试方法缺少理论指导，也缺乏更多的技术产品工具 ;　　安全测试需要对系统所采用的技术以及系统的架构等进行分析，这方面也是较为薄弱的环节!