以下为汇总了http://bbs.cntesting.com/simple/index.php?t674.html中的帖子:
【三更的影子】
web体系架构中涉及到的模块多多,安全问题不少
个人总结一下自己的发现:
1.数据验证流程:一个好的web系统应该在IE端,server端,DB端都应该进行验证。但有不少程序偷工减料,script验证完了,就不管了;app server对数据长度和类型的验证与db server的不一样,这些都会引发问题。有兴趣的可参看一下script代码,设计一些case,这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的script代码,然后提交了一个form,引发了一个系统的重大漏洞后门
2. 数据验证类型: 如果web server端提交sql语句时,不对提交的sql语句验证,那么一个黑客就可暗喜了。他可将提交的sql语句分割,后面加一个delete all或drop database的之类语句,能将你的数据库内容删个精光!我这一招还没实验在internet网站上,不知这样的网站有没有,有多少个。反正我负责的那个web系统曾经发现这样的问题。
3. 网络加密,数据库加密不用说了吧
--------------------------
【rockyxie】
HTTPS的认证书,
还有,掩盖应用的扩展名,不用.do什么的,使用.html扩展名来mapping.
--------------------------
【taker2001】
在软件安全开始越来越受人重视的今天,软件的安全性测试是必不可少了。尤其是WEB软件的安全性,关系到一个企业的形象和能力。
我把我对WEB软件安全性测试的方法和经验(见笑了只有半年,哈哈),给大家批评和讨论。
WEB软件最常碰到的BUG为:
1、SQL INJETION
2、对文件操作相关的模块的漏洞
3、COOKIES的欺骗
4、本地提交的漏洞
SQL INJETION的测试方法
原理:
如有一新闻管理系统用文件news.asp再用参数读取数据库里的新闻譬如
http://www.xxx.com/news.asp?id=1 这一类网站程序
如果直接用
rs.open "select * from news where id=" &
cstr(request("id")),conn,1,1 数据库进行查询的话即上面的
URL所读取的文章是这样读取的
select * from news where id=1
懂得SQL语言的就知道这条语言的意思是在news读取
id为1的文章内容。但是在SQL SERVER里select是支持子查询和多句执行的。如果这样提
交URL的话
http://www.xxx.com/news.asp?id=1 and 1=(select count(*) from admin
where left(name,1)=a)
SQL语句就变成了select * news where id=1 and 1=(select count(*)
from admin where left(name,1)=a)
意思是admin表里如果存在字段字为name里左边第一个字符是a的就查询news表里id为1的内容,news表里id为1是有内容
的,从逻辑上的角度来说就是1&P
只要P为真,表达式就为真,页面会返回一个正确的页面。如果为假页面就会报错或者会
提示该id的文章不存在。黑客利用这点就可以慢慢得试用后台管理员的用户和密码。
测试:
测试存不存在SQL INJETION很简单如果参数为整数型的
就在URL上分别提交http://www.xxx.com/news.asp?id=1 and 1=1
和http://www.xxx.com/news.asp?id=1 and 1=2
如果第一次返回正确内容,第二次返回不同页面或者不同容内的话表明news.asp文件存在SQL
INJETION.如何利用就不多
说了,毕竟我们都不是为了入侵。
对文件操作相关的模块的漏洞测试
原理:
如一上传文件功能的程序upload.asp如果程序员只注重其功能上的需求没有考虑到用户不按常规操作的问题。如上传一个网页木马程序上去,整个网站甚至整个服务器的架构和源码都暴露而且还有一定的权限。
测试:
试上传asp,php,jsp,cgi等网页的文件看是否成功。
补充:
还有像
http://www.xxx.com/download/filespath.asp?path=../abc.zip
下载功能的软件如果
http://www.xxx.com/download/filespath.asp?path=../conn.asp
很可能下载到这些asp的源码数据库位置及用户密码都可能暴露。
其它还有很多,就不一一举例了。
COOKIES的欺骗
原理:
COOKIES是WEB程序的重要部分,COOKIES有利有弊。利在于不太占用服务器的资源,弊在于放在客户端非常容易被人修改加以利用。所以一般论坛前台登陆用COOKIES后台是用SESSION,因为前台登陆比较频繁,用SESSION效率很低。但如论坛程序管理员用户在前台也有一定的权限,如果对COOKIES验证不严的话,严重影响了WEB程序的正常工作。如前期的LEADBBS,只有后台对COOKIES验证严格,前台的位置只是从COOKIES读取用户的ID,对用户是否合法根本没有验证。
测试:
推荐使用MYBROWER浏览器,可即时显示及修改COOKIES。尝试一下修改里面的对应位置。
本地提交表单的漏洞
原理:
Action只接爱表单的提交,所以表单是客户WEB程序的接口。先举一个例子,一个投票系统,分A,B,C,D各项的VALUE是100,80,60,40。
但是如果先把些页面以HTML形式保存在本地硬盘里。然后修改其VALUE,再向其ACTION提交,ACTION会不会接受呢?
测试:
如一投票系统,把投票的页面保存在本地硬盘,用记事本打开,找到对应项的VALUE值,对其修改,然后提交。
这是我在测试过程中所最常碰到的BUG,也是最广泛存在的。由于本人水平有限,有错漏之处请指出,或者大家对WEB的安全性测试有什么心得
请和我及大家分享。
分享到:
相关推荐
唯品会安全应急杂谈 渗透测试 安全管理 应急响应 红蓝对抗 安全测试
「安全管理」Linux_HIDS杂谈 - WEB应用防火墙 安全管理 安全资讯 安全开发 零信任 身份管理
藏经阁-唯品会安全应急杂谈.pdf
软件软件性能测试中的一些经验杂谈软件测试1、数据库的规划初期尽可能的建立好规范和数据索引;2、多层嵌套的sql语句,当多次循环查询,sql语句的性能好坏受sql语句的影响是很大的,避免多余的和错误的循环嵌套;3、...
软件测试方向杂谈软件测试说起来学习计算机已经有六七年了,而进入软件测试这个行业也是有两年多了。记得最开始投入到测试的目的是因为容易进大公司。我身边的同学们都很鄙视测试行业,认为没有什么技术含量,而我却...
如何搭建自动化测试框架,以及需要注意的问题,自动化测试用例如何书写...
程序设计经验杂谈,程序设计,经验杂谈程序设计经验杂谈,程序设计,经验杂谈
几年工作杂谈,希望对各位同行人的心态有个帮助。
软件测试单元软件测试中单元测试和测试驱动开发(TDD)杂谈在一种传统的结构化编程语言中,比如C,要进行测试的单元一般是函数或子过程。在象C++这样的面向对象的语言中,要进行测试的基本单元是类。对Ada语言来说,...
高并发架构一些技术套路杂谈
JAVA杂谈一本好书
为己杂谈学习精要.doc
杂谈_软件江湖_Java学习之路, 找到正确的学习之路!!!!!!
目录 唯品会安全发展历程 业务安全那点事 Q&A
ERP实施杂谈ERP实施杂谈
Struts_2_事件两周年启示+乌云社区颁奖.pdf ...安全建设与风控杂谈.pdf Web_安全架构浅谈.pdf 去哪儿安全-从_0_到_1.pdf WooKnows_2:互联网安全人才发展现状.pdf HackReal.4:由_PC_端安全问题引发的重重隐患.pdf