Web安全測(cè)試規(guī)范V1.3

1、平安測(cè)試工作規(guī)范文件狀態(tài) 草稿 正式發(fā)布 正在修改當(dāng)前版本V1.0擬 制日期2014-03-04審 核日期批 準(zhǔn)日期深圳市xx有限公司二一四年三月修訂歷史記錄 A - 增加 M - 修訂 D - 刪除變更版本號(hào)日期變更類型（A*M*D）修改人摘 要備注V1.32014-03-04M修改文檔，依據(jù)公司目前實(shí)際狀況進(jìn)行調(diào)整目 錄 TOC o 1-3 h z u HYPERLINK l _Toc383524463 1概述 PAGEREF _Toc383524463 h 4 HYPERLINK l _Toc383524464 1.1背景簡(jiǎn)介 PAGEREF _Toc383524464 h 4 HYPE

2、RLINK l _Toc383524465 1.2適用讀者 PAGEREF _Toc383524465 h 4 HYPERLINK l _Toc383524466 1.3適用范圍 PAGEREF _Toc383524466 h 4 HYPERLINK l _Toc383524467 1.4平安測(cè)試在項(xiàng)目整體流程中所處的位置 PAGEREF _Toc383524467 h 5 HYPERLINK l _Toc383524468 1.5平安測(cè)試在平安風(fēng)險(xiǎn)評(píng)估的關(guān)系說(shuō)明 PAGEREF _Toc383524468 h 5 HYPERLINK l _Toc383524469 1.6留意事項(xiàng) PAGER

3、EF _Toc383524469 h 5 HYPERLINK l _Toc383524470 1.7測(cè)試用例級(jí)別說(shuō)明 PAGEREF _Toc383524470 h 6 HYPERLINK l _Toc383524471 2Web平安測(cè)試方法 PAGEREF _Toc383524471 h 7 HYPERLINK l _Toc383524472 2.1平安功能驗(yàn)證 PAGEREF _Toc383524472 h 7 HYPERLINK l _Toc383524473 2.2漏洞掃描 PAGEREF _Toc383524473 h 7 HYPERLINK l _Toc383524474 2.3模

4、擬攻擊試驗(yàn) PAGEREF _Toc383524474 h 7 HYPERLINK l _Toc383524475 2.4偵聽(tīng)技術(shù) PAGEREF _Toc383524475 h 7 HYPERLINK l _Toc383524476 3Appscan工具介紹 PAGEREF _Toc383524476 h 8 HYPERLINK l _Toc383524477 3.1AppScan工作原理 PAGEREF _Toc383524477 h 8 HYPERLINK l _Toc383524478 3.2AppScan掃描階段 PAGEREF _Toc383524478 h 9 HYPERLINK

5、 l _Toc383524479 3.3AppScan工具用法 PAGEREF _Toc383524479 h 10 HYPERLINK l _Toc383524480 3.4AppScan工具測(cè)試掩蓋項(xiàng)說(shuō)明 PAGEREF _Toc383524480 h 18 HYPERLINK l _Toc383524481 4測(cè)試用例和規(guī)范標(biāo)準(zhǔn) PAGEREF _Toc383524481 h 19 HYPERLINK l _Toc383524482 4.1輸入數(shù)據(jù)測(cè)試 PAGEREF _Toc383524482 h 20 HYPERLINK l _Toc383524483 4.1.1SQL注入測(cè)試 PA

6、GEREF _Toc383524483 h 20 HYPERLINK l _Toc383524484 4.1.2指令執(zhí)行測(cè)試 PAGEREF _Toc383524484 h 25 HYPERLINK l _Toc383524485 4.2跨站腳本攻擊測(cè)試 PAGEREF _Toc383524485 h 26 HYPERLINK l _Toc383524486 4.2.1GET方式跨站腳本測(cè)試 PAGEREF _Toc383524486 h 28 HYPERLINK l _Toc383524487 4.2.2POST方式跨站腳本測(cè)試 PAGEREF _Toc383524487 h 29 HYPE

7、RLINK l _Toc383524488 4.2.3跨站腳本工具實(shí)例解析 PAGEREF _Toc383524488 h 30 HYPERLINK l _Toc383524489 4.3權(quán)限管理測(cè)試 PAGEREF _Toc383524489 h 32 HYPERLINK l _Toc383524490 4.3.1橫向測(cè)試 PAGEREF _Toc383524490 h 32 HYPERLINK l _Toc383524491 4.3.2縱向測(cè)試 PAGEREF _Toc383524491 h 33 HYPERLINK l _Toc383524492 4.4服務(wù)器信息收集 PAGEREF _

8、Toc383524492 h 39 HYPERLINK l _Toc383524493 4.4.1運(yùn)行賬號(hào)權(quán)限測(cè)試 PAGEREF _Toc383524493 h 39 HYPERLINK l _Toc383524494 4.4.2Web服務(wù)器端口掃描 PAGEREF _Toc383524494 h 39 HYPERLINK l _Toc383524495 4.5文件、名目測(cè)試 PAGEREF _Toc383524495 h 40 HYPERLINK l _Toc383524496 4.5.1工具方式的敏感接口遍歷 PAGEREF _Toc383524496 h 40 HYPERLINK l

9、_Toc383524497 4.5.2名目列表測(cè)試 PAGEREF _Toc383524497 h 42 HYPERLINK l _Toc383524498 4.5.3文件歸檔測(cè)試 PAGEREF _Toc383524498 h 44 HYPERLINK l _Toc383524499 4.6認(rèn)證測(cè)試 PAGEREF _Toc383524499 h 45 HYPERLINK l _Toc383524500 4.6.1驗(yàn)證碼測(cè)試 PAGEREF _Toc383524500 h 45 HYPERLINK l _Toc383524501 4.6.2認(rèn)證錯(cuò)誤提示 PAGEREF _Toc3835245

10、01 h 46 HYPERLINK l _Toc383524502 4.6.3鎖定策略測(cè)試 PAGEREF _Toc383524502 h 47 HYPERLINK l _Toc383524503 4.6.4認(rèn)證繞過(guò)測(cè)試 PAGEREF _Toc383524503 h 48 HYPERLINK l _Toc383524504 4.6.5修復(fù)密碼測(cè)試 PAGEREF _Toc383524504 h 48 HYPERLINK l _Toc383524505 4.6.6擔(dān)憂全的數(shù)據(jù)傳輸 PAGEREF _Toc383524505 h 49 HYPERLINK l _Toc383524506 4.6.

11、7強(qiáng)口令策略測(cè)試 PAGEREF _Toc383524506 h 50 HYPERLINK l _Toc383524507 4.7會(huì)話管理測(cè)試 PAGEREF _Toc383524507 h 52 HYPERLINK l _Toc383524508 4.7.1身份信息維護(hù)方式測(cè)試 PAGEREF _Toc383524508 h 52 HYPERLINK l _Toc383524509 4.7.2Cookie存儲(chǔ)方式測(cè)試 PAGEREF _Toc383524509 h 52 HYPERLINK l _Toc383524510 4.7.3用戶注銷登陸的方式測(cè)試 PAGEREF _Toc383524

12、510 h 53 HYPERLINK l _Toc383524511 4.7.4注銷時(shí)會(huì)話信息是否清除測(cè)試 PAGEREF _Toc383524511 h 54 HYPERLINK l _Toc383524512 4.7.5會(huì)話超時(shí)時(shí)間測(cè)試 PAGEREF _Toc383524512 h 55 HYPERLINK l _Toc383524513 4.7.6會(huì)話定置測(cè)試 PAGEREF _Toc383524513 h 55 HYPERLINK l _Toc383524514 4.8文件上傳下載測(cè)試 PAGEREF _Toc383524514 h 56 HYPERLINK l _Toc383524

13、515 4.8.1文件上傳測(cè)試 PAGEREF _Toc383524515 h 56 HYPERLINK l _Toc383524516 4.8.2文件下載測(cè)試 PAGEREF _Toc383524516 h 57 HYPERLINK l _Toc383524517 4.9信息泄漏測(cè)試 PAGEREF _Toc383524517 h 58 HYPERLINK l _Toc383524518 4.9.1連接數(shù)據(jù)庫(kù)的賬號(hào)密碼加密測(cè)試 PAGEREF _Toc383524518 h 58 HYPERLINK l _Toc383524519 4.9.2客戶端源代碼敏感信息測(cè)試 PAGEREF _Toc

14、383524519 h 59 HYPERLINK l _Toc383524520 4.9.3客戶端源代碼注釋測(cè)試 PAGEREF _Toc383524520 h 59 HYPERLINK l _Toc383524521 4.9.4異樣處理 PAGEREF _Toc383524521 h 60 HYPERLINK l _Toc383524522 4.9.5擔(dān)憂全的存儲(chǔ) PAGEREF _Toc383524522 h 62 HYPERLINK l _Toc383524523 4.10規(guī)律測(cè)試 PAGEREF _Toc383524523 h 62 HYPERLINK l _Toc383524524

15、4.11其他 PAGEREF _Toc383524524 h 63 HYPERLINK l _Toc383524525 4.11.1Class文件反編譯測(cè)試 PAGEREF _Toc383524525 h 63 HYPERLINK l _Toc383524526 5本規(guī)范所涉及的測(cè)試工具 PAGEREF _Toc383524526 h 63概述背景簡(jiǎn)介為了規(guī)避平安風(fēng)險(xiǎn)、規(guī)范代碼的平安開(kāi)發(fā)，以及如何系統(tǒng)的進(jìn)行平安性測(cè)試，目前缺少相應(yīng)的理論和方法支撐。為此，我們制定平安測(cè)試規(guī)范，本規(guī)范可讓測(cè)試人員針對(duì)常見(jiàn)平安漏洞或攻擊方式，系統(tǒng)的對(duì)被測(cè)系統(tǒng)進(jìn)行快速平安性測(cè)試。適用讀者本規(guī)范的讀者及用法對(duì)象主要為測(cè)

16、試人員、開(kāi)發(fā)人員等。適用范圍本規(guī)范主要針對(duì)基于通用服務(wù)器的Web應(yīng)用系統(tǒng)為例，其他系統(tǒng)也可以參考。如下圖例說(shuō)明白一種典型的基于通用服務(wù)器的Web應(yīng)用系統(tǒng)：Web應(yīng)用應(yīng)用服務(wù)器TomcatJBoss客戶端Web服務(wù)器ApacheIIS數(shù)據(jù)庫(kù)服務(wù)器OracleSqlserver本規(guī)范中的方法以攻擊性測(cè)試為主。除了掩蓋業(yè)界常見(jiàn)的Web平安測(cè)試方法以外，也借鑒了一些業(yè)界最佳平安實(shí)踐。平安測(cè)試在項(xiàng)目整體流程中所處的位置一般建議在集成測(cè)試前依據(jù)產(chǎn)品實(shí)現(xiàn)架構(gòu)及平安需求，完成平安性測(cè)試需求分析和測(cè)試設(shè)計(jì)，預(yù)備好平安測(cè)試用例。在集成版本正式轉(zhuǎn)測(cè)試后，即可進(jìn)行平安測(cè)試。假如產(chǎn)品質(zhì)量不穩(wěn)定，前期功能性問(wèn)題較多，則可

17、適當(dāng)推后平安測(cè)試執(zhí)行。平安測(cè)試在平安風(fēng)險(xiǎn)評(píng)估的關(guān)系說(shuō)明平安風(fēng)險(xiǎn)是指威逼利用漏洞對(duì)目標(biāo)系統(tǒng)造成平安影響的可能性及嚴(yán)峻程度。其中威逼是指可能對(duì)目標(biāo)系統(tǒng)造成損害的潛在緣由，包括物理環(huán)境威逼、人為威逼等。漏洞也稱弱點(diǎn)，是應(yīng)用系統(tǒng)本身存在的，包括系統(tǒng)實(shí)現(xiàn)中的缺陷、配置中的漏洞等。外部威逼利用系統(tǒng)的漏洞達(dá)到破壞系統(tǒng)平安運(yùn)行的目的。本規(guī)范所描述的平安測(cè)試僅是平安風(fēng)險(xiǎn)評(píng)估中的一個(gè)活動(dòng)，對(duì)應(yīng)于平安風(fēng)險(xiǎn)評(píng)估過(guò)程中的漏洞識(shí)別部分，特殊是技術(shù)性的漏洞識(shí)別。完整的平安風(fēng)險(xiǎn)評(píng)估過(guò)程、概念見(jiàn)GB/T 20984-2007信息平安技術(shù)信息平安風(fēng)險(xiǎn)評(píng)估規(guī)范。留意事項(xiàng)平安測(cè)試的執(zhí)行，對(duì)于被測(cè)系統(tǒng)，或多或少都會(huì)存在一些影響（比如性

18、能、垃圾數(shù)據(jù)），只能在測(cè)試環(huán)境中進(jìn)行；不允許在正式環(huán)境運(yùn)行，避開(kāi)系統(tǒng)存在漏洞導(dǎo)致丟失數(shù)據(jù)和數(shù)據(jù)庫(kù)損壞。本規(guī)范最主要目的是為了發(fā)覺(jué)平安漏洞，至于發(fā)覺(jué)一個(gè)漏洞以后更深一步的滲透測(cè)試在這里不會(huì)涉及。例如針對(duì)暴力破解測(cè)試，我們只給出驗(yàn)證存在暴力破解漏洞的可能，但不會(huì)供應(yīng)暴力破解的方法。本文檔中全部提及的測(cè)試工具的用法，請(qǐng)遵循公司相關(guān)規(guī)定。假如是內(nèi)部試驗(yàn)環(huán)境進(jìn)行測(cè)試，可以考慮去除一些防護(hù)措施或設(shè)備（如防火墻），這樣能保證發(fā)覺(jué)問(wèn)題的全面性。本文檔依據(jù)最嚴(yán)格的方式對(duì)目標(biāo)進(jìn)行測(cè)試，假如項(xiàng)目系統(tǒng)對(duì)平安的要求不高且有自身的平安策略規(guī)定時(shí)，可以視狀況對(duì)測(cè)試項(xiàng)進(jìn)行部分測(cè)試。例如密碼策略測(cè)試項(xiàng)中，測(cè)試人員可以依據(jù)測(cè)試目

19、標(biāo)的密碼位數(shù)要求進(jìn)行測(cè)試，而不需要完全依照測(cè)試項(xiàng)里面規(guī)定的位數(shù)進(jìn)行測(cè)試。測(cè)試用例級(jí)別說(shuō)明一個(gè)平安漏洞的風(fēng)險(xiǎn)程度受危害程度和概率的影響，我們定義了如下所示的關(guān)系：危害程度 發(fā)生概率高中低高高高中中高中低低中低低 表1 風(fēng)險(xiǎn)等級(jí)界定表本測(cè)試規(guī)范用例依據(jù)上面的定義分為四個(gè)測(cè)試級(jí)別：測(cè)試用例級(jí)別說(shuō)明一級(jí)基本：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為高的平安漏洞，在任何狀況下都必需進(jìn)行測(cè)試。二級(jí)重要：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為中的平安漏洞，在條件允許（時(shí)間、人力充分）狀況下必需進(jìn)行測(cè)試。三級(jí)一般：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為低的平安漏洞，測(cè)試結(jié)果可能對(duì)其他測(cè)試有憂慮。測(cè)試與否依據(jù)業(yè)務(wù)系統(tǒng)的重要性來(lái)推斷。四級(jí)

20、生僻：該類用例涉及可能導(dǎo)致風(fēng)險(xiǎn)程度為極低的平安漏洞，攻擊者只能收集到很少且無(wú)關(guān)緊要的信息。一般狀況下不建議進(jìn)行測(cè)試。 表2 測(cè)試用例級(jí)別說(shuō)明表Web平安測(cè)試方法平安功能驗(yàn)證功能驗(yàn)證是接受軟件測(cè)試當(dāng)中的黑盒測(cè)試方法，對(duì)涉及平安的軟件功能，如：用戶管理模塊，權(quán)限管理模塊，加密系統(tǒng)，認(rèn)證系統(tǒng)等進(jìn)行測(cè)試，主要驗(yàn)證上述功能是否有效，不存在平安漏洞，具體方法可用法黑盒測(cè)試方法。漏洞掃描漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的平安脆弱性進(jìn)行檢測(cè)，發(fā)覺(jué)可利用的漏洞的一種平安檢測(cè)（滲透攻擊）行為。漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)平安技術(shù)。它和防火墻、入侵檢測(cè)系統(tǒng)相互協(xié)作，能夠有效提

21、高網(wǎng)絡(luò)的平安性。通過(guò)對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的平安設(shè)置和運(yùn)行的應(yīng)用服務(wù)，準(zhǔn)時(shí)發(fā)覺(jué)平安漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員能依據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)平安漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置，在黑客攻擊前進(jìn)行防范。假如說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防備手段，那么平安掃描就是一種主動(dòng)的防范措施，能有效避開(kāi)黑客攻擊行為，做到防患于未然。模擬攻擊試驗(yàn)?zāi)M攻擊測(cè)試是一組特殊的黑盒測(cè)試案例，以模擬攻擊來(lái)驗(yàn)證軟件或信息系統(tǒng)的平安防護(hù)力氣，可用法冒充、重演、消息篡改、服務(wù)拒絕等方法來(lái)實(shí)現(xiàn)。偵聽(tīng)技術(shù)在數(shù)據(jù)通信或數(shù)據(jù)交互過(guò)程，對(duì)數(shù)據(jù)進(jìn)行截取分析的過(guò)程。目前最為流行的是網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)。Appscan工具介紹Apps

22、can掃描工具只能檢測(cè)到部分常見(jiàn)的漏洞（如跨站腳本、SQL注入等），不是針對(duì)用戶代碼的，也就是說(shuō)不能理解業(yè)務(wù)規(guī)律，無(wú)法對(duì)這些漏洞做進(jìn)一步業(yè)務(wù)上的推斷。往往最嚴(yán)峻的平安問(wèn)題并不是常見(jiàn)的漏洞，而是通過(guò)這些漏洞針對(duì)業(yè)務(wù)規(guī)律和應(yīng)用的攻擊。Web目前分為“應(yīng)用”和“Web服務(wù)”兩部分。應(yīng)用指通常意義上的Web應(yīng)用，而Web 服務(wù)是一種面對(duì)服務(wù)的架構(gòu)的技術(shù)，通過(guò)標(biāo)準(zhǔn)的Web協(xié)議（如HTTP、XML、SOAP、WSDL）供應(yīng)服務(wù)。AppScan工作原理AppScan工作原理：1、通過(guò)搜尋(爬行)發(fā)覺(jué)整個(gè) Web 應(yīng)用結(jié)構(gòu)。2、依據(jù)分析，發(fā)送修改的 HTTP Request 進(jìn)行攻擊嘗試(掃描規(guī)章庫(kù))。3、通

23、過(guò)對(duì)于 Respond 的分析驗(yàn)證是否存在平安漏洞。所以，AppScan 的核心是供應(yīng)一個(gè)掃描規(guī)章庫(kù)，然后利用自動(dòng)化的“探究”技術(shù)得到眾多的頁(yè)面和頁(yè)面參數(shù)，進(jìn)而對(duì)這些頁(yè)面和頁(yè)面參數(shù)進(jìn)行平安性測(cè)試?！皰呙枰?guī)章庫(kù)”，“探究”，“測(cè)試”就構(gòu)成了 AppScan 的核心三要素。如上圖，單擊“掃描”下面的小三角，可以毀滅如下的三個(gè)選型“完全掃描”、“僅探究”、“僅測(cè)試”三個(gè)名詞，該三個(gè)類型為AppScan 三個(gè)核心要素；AppScan 是對(duì)網(wǎng)站等 Web 應(yīng)用進(jìn)行平安攻擊來(lái)檢查網(wǎng)站是否存在平安漏洞；對(duì)網(wǎng)站來(lái)說(shuō)，一個(gè)網(wǎng)站存在的頁(yè)面，可能成千上萬(wàn)。每個(gè)頁(yè)面也都可能存在多個(gè)字段（參數(shù)），比如一個(gè)登陸界面，至少

24、要輸入用戶名和密碼，就是說(shuō)一個(gè)頁(yè)面存在兩個(gè)字段，你提交了用戶名密碼等登陸信息，網(wǎng)站要有地方接受并且檢查是否正確，這就可能存在一個(gè)新的檢查頁(yè)面。這里的每個(gè)頁(yè)面的每個(gè)參數(shù)都可能存在平安漏洞，都是被攻擊對(duì)象，所以都需要檢查。這就存在一個(gè)問(wèn)題，我們來(lái)負(fù)責(zé)來(lái)檢查一個(gè)網(wǎng)站的平安性，這個(gè)網(wǎng)站有多少個(gè)頁(yè)面，有多少個(gè)參數(shù)，頁(yè)面之間如何跳轉(zhuǎn)，我們可能并不明確，如何知道這些信息？訪問(wèn)一個(gè)網(wǎng)站的時(shí)候，我們需要知道的最重要的信息是哪個(gè)？網(wǎng)站主頁(yè)地址？從網(wǎng)站地址開(kāi)頭，其他頁(yè)面都可以鏈接過(guò)去，那么可不行以有種技術(shù)，告知了它網(wǎng)站的入口地址，然后它“順藤摸瓜”，找出其他的網(wǎng)頁(yè)和頁(yè)面參數(shù)？所以這就是“爬蟲(chóng)”技術(shù)，具體說(shuō)，是“網(wǎng)站

25、爬蟲(chóng)”，其利用了網(wǎng)頁(yè)的懇求都是用 http 協(xié)議發(fā)送的，發(fā)送和返回的內(nèi)容都是統(tǒng)一的語(yǔ)言 HTML，那么對(duì) HTML 語(yǔ)言進(jìn)行分析，找到里面的參數(shù)和鏈接，紀(jì)錄并連續(xù)發(fā)送，最終，找到了這個(gè)網(wǎng)站的眾多的頁(yè)面和名目。這個(gè)AppScan 就供應(yīng)，這里的術(shù)語(yǔ)叫“探究”。在用法 AppScan 的時(shí)候，要配置的第一個(gè)就是要檢查的網(wǎng)站的地址，配置了以后，AppScan 就會(huì)利用“探究”技術(shù)去發(fā)覺(jué)這個(gè)網(wǎng)站存在多少個(gè)名目，多少個(gè)頁(yè)面，頁(yè)面中有哪些參數(shù)等，簡(jiǎn)潔說(shuō)，了解網(wǎng)站的結(jié)構(gòu)。“探究”了解了，測(cè)試的目標(biāo)和范圍就大致確定了，然后利用規(guī)章庫(kù)（ AppScan 的掃描規(guī)章庫(kù)，其類似殺毒軟件的病毒庫(kù)），發(fā)送各種發(fā)送懇求，

26、進(jìn)行平安攻擊，這個(gè)過(guò)程就是“測(cè)試”；具體可以檢查的平安攻擊類型都在里面做好了，我們?nèi)ビ梅纯伞Ｍ耆珳y(cè)試就是把上面的兩個(gè)步驟整合起來(lái)，“探究”+“測(cè)試”；在平安測(cè)試過(guò)程中，可以先只進(jìn)行探究，不進(jìn)行測(cè)試，目的是了解被測(cè)的網(wǎng)站結(jié)構(gòu)，評(píng)估范圍；然后選擇“僅測(cè)試”，只對(duì)前面探究過(guò)的頁(yè)面進(jìn)行測(cè)試，不對(duì)新發(fā)覺(jué)的頁(yè)面進(jìn)行測(cè)試?！巴耆珳y(cè)試”就是把兩個(gè)步驟結(jié)合在一起，一邊探究，一邊測(cè)試。AppScan掃描階段Appscan全面掃描包括兩個(gè)步驟：探究和測(cè)試；探究階段： appscan會(huì)通過(guò)仿照成web用戶單擊鏈接并填寫表單字段來(lái)探究站點(diǎn)（web應(yīng)用程序或web server）這就是探究階段。探究階段可以遍歷每個(gè)UR

27、L路徑，并分析后創(chuàng)建測(cè)試點(diǎn)。既工具會(huì)仿照一個(gè)用戶對(duì)被訪問(wèn)的Web應(yīng)用或Web服務(wù)站點(diǎn)進(jìn)行探測(cè)訪問(wèn)，通過(guò)發(fā)送懇求對(duì)站點(diǎn)內(nèi)的鏈接與表單域進(jìn)行訪問(wèn)或填寫，以獵取相應(yīng)的站點(diǎn)信息。Appscan分析器將會(huì)對(duì)自己發(fā)送的每一個(gè)懇求后的響應(yīng)做出推斷，查找出任何可能潛在風(fēng)險(xiǎn)的地方，并針對(duì)這些可能會(huì)隱含風(fēng)險(xiǎn)的響應(yīng)，確定將要自動(dòng)生成的測(cè)試用例。但是在探測(cè)階段完成后，這些高危區(qū)域是否真的隱含著平安缺陷或應(yīng)做更好的改良，以及這些隱含的風(fēng)險(xiǎn)是處于什么層度的，是需要在測(cè)試執(zhí)行完成后，才能最終得出決論。測(cè)試階段：“測(cè)試”期間，appscan會(huì)發(fā)送它在“探究”階段創(chuàng)建的成千上萬(wàn)個(gè)定制的測(cè)試懇求，通過(guò)你定制好的測(cè)試策略分析每個(gè)測(cè)

28、試的響應(yīng)，最終依據(jù)規(guī)章識(shí)別應(yīng)用程序中的平安問(wèn)題，并排列這些平安問(wèn)題的風(fēng)險(xiǎn)級(jí)別。既Appscan是通過(guò)測(cè)試策略庫(kù)中對(duì)相應(yīng)平安隱患的檢測(cè)規(guī)章而生成對(duì)應(yīng)的足夠全面而且簡(jiǎn)潔的測(cè)試輸入（測(cè)試用例）。掃描階段：Appscan才是真正的工作起來(lái)，他將會(huì)把上個(gè)階段的測(cè)試用例產(chǎn)生的服務(wù)懇求間續(xù)的發(fā)送出去。然后再檢測(cè)分析服務(wù)的響應(yīng)結(jié)果，從而推斷該測(cè)試用例的輸入，是否造成了平安隱患或平安問(wèn)題。然后再通過(guò)測(cè)試用例生成的策略，找出該平安問(wèn)題的描述，以及該問(wèn)題的解決方案，同時(shí)還報(bào)告相關(guān)參數(shù)的懇求發(fā)送以及響應(yīng)結(jié)果。AppScan工具用法掃描假如是第一次啟動(dòng)，屏幕中心將會(huì)毀滅一個(gè)“歡迎”對(duì)話框。在此對(duì)話中，可以點(diǎn)擊“入門”鏈

29、接，查看 IBM Rational AppScan 的“新手入門憂慮文檔”，如下圖：點(diǎn)擊“創(chuàng)建新的掃描”，就可以開(kāi)頭掃描任務(wù)，選擇“常規(guī)掃描”為例，如下圖：選擇掃描類型為：Web應(yīng)用程序掃描，如下圖：輸入起始URL，如下圖：點(diǎn)擊“記錄”，如下圖：選擇“測(cè)試策略”為缺省值，如下圖：選擇啟動(dòng)方式為“啟動(dòng)全面自動(dòng)掃描”，如下圖：選擇自動(dòng)保存，點(diǎn)擊“是”，如下圖：錄入該網(wǎng)站的用戶名和賬號(hào)，登錄系統(tǒng)后，點(diǎn)擊“暫?！卑粹o，如下圖：然后，點(diǎn)擊“掃描”按鈕下的“連續(xù)完全掃描”，等待掃描完成，如下圖：掃描完成后，顯示結(jié)果，如下圖：工具具體分布圖，如下圖：生成報(bào)告在工具欄上，單擊“報(bào)告”，然后選擇“平安報(bào)告”。選

30、擇模板：管理綜合報(bào)告、具體報(bào)告、修復(fù)任務(wù)、開(kāi)發(fā)者、QA、站點(diǎn)名目。 注：可以通過(guò)你所需要的內(nèi)容，在右側(cè)樹(shù)中選擇你報(bào)告全部體現(xiàn)的內(nèi)容從最低嚴(yán)峻性列表中，選擇要包含在報(bào)告中的問(wèn)題最低嚴(yán)峻性級(jí)別。點(diǎn)擊保存報(bào)告，自動(dòng)生成報(bào)告；報(bào)告供應(yīng)PDA或WORD格式的保存。測(cè)試用例和規(guī)范標(biāo)準(zhǔn)測(cè)試用例和規(guī)范標(biāo)準(zhǔn)可分為主動(dòng)模式和被動(dòng)模式兩種。在被動(dòng)模式中，測(cè)試人員盡可能的了解應(yīng)用規(guī)律：比如用工具分析全部的HTTP懇求及響應(yīng)，以便測(cè)試人員把握應(yīng)用程序全部的接入點(diǎn)（包括HTTP頭，參數(shù)，cookies等）；在主動(dòng)模式中，測(cè)試人員試圖以黑客的身份來(lái)對(duì)應(yīng)用及其系統(tǒng)、后臺(tái)等進(jìn)行滲透測(cè)試，其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)

31、等。一般測(cè)試人員需要先生疏目標(biāo)系統(tǒng)，即被動(dòng)模式下的測(cè)試，然后再開(kāi)展進(jìn)一步的分析，即主動(dòng)模式下的測(cè)試。主動(dòng)測(cè)試會(huì)與被測(cè)目標(biāo)進(jìn)行挺直的數(shù)據(jù)交互，而被動(dòng)測(cè)試不需要，參考以下示意圖：造成的影響主動(dòng)模式被動(dòng)模式 初始化完成Web結(jié)構(gòu)獵取權(quán)限測(cè)試歸檔測(cè)試參數(shù)分析異樣處理注入測(cè)試指令執(zhí)行文件包含跨站腳本信息竊取備份文件后臺(tái)查找名目列表會(huì)話管理信息泄漏數(shù)據(jù)破壞拒絕服務(wù)信息獵取生疏業(yè)務(wù)規(guī)律接口測(cè)試認(rèn)證測(cè)試暴力破解認(rèn)證繞過(guò)規(guī)律處理越權(quán)操作身份仿冒日志檢查拒絕服務(wù)上傳下載輸入數(shù)據(jù)測(cè)試SQL注入測(cè)試SQL注入是針對(duì)一種數(shù)據(jù)庫(kù)而言的，而不是針對(duì)網(wǎng)頁(yè)語(yǔ)言。在任何用法了數(shù)據(jù)庫(kù)查詢環(huán)境下都可能存在。常見(jiàn)的數(shù)據(jù)庫(kù)包括：MSSQ

32、L、Oracle、Informix、Db2、Access、Sybase等。所謂SQL注入，就是通過(guò)把SQL指令插入到Web表單遞交或輸入域名或頁(yè)面懇求的查詢字符串，最終達(dá)到哄騙服務(wù)器執(zhí)行惡意的SQL指令。SQL注入受到的威逼，（但不限于）以下幾種狀況：數(shù)據(jù)泄漏修改現(xiàn)有數(shù)據(jù)插入新數(shù)據(jù)任意的文件系統(tǒng)訪問(wèn)任意的網(wǎng)絡(luò)訪問(wèn)系統(tǒng)泄漏針對(duì)不同的數(shù)據(jù)庫(kù)系統(tǒng)用法的一些函數(shù)會(huì)有所不同，不過(guò)從測(cè)試是否存在SQL注入的角度考慮，只需要進(jìn)行幾個(gè)最基本的推斷語(yǔ)句就可以了。編號(hào)Web_ 01測(cè)試用例名稱手工SQL注入測(cè)試測(cè)試目的由于SQL注入有可能造成信息泄漏，在嚴(yán)峻狀況下（依據(jù)用法的數(shù)據(jù)庫(kù)而定）甚至可能造成數(shù)據(jù)修改、刪除

33、，從而導(dǎo)致業(yè)務(wù)中斷。因此必需發(fā)覺(jué)全部存在的注入點(diǎn)。用例級(jí)別一級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知待測(cè)目標(biāo)URL，假設(shè)為/page.xxx待測(cè)目標(biāo)存在參數(shù)輸入，假設(shè)為name=value 執(zhí)行步驟觀看參數(shù)的值value是否為數(shù)字型。假如是數(shù)字型進(jìn)行數(shù)字型測(cè)試，否則跳到第4步進(jìn)行字符型測(cè)試（例如假如毀滅a那說(shuō)明是字符型，假如毀滅2則將其當(dāng)做數(shù)字型測(cè)試）將被測(cè)參數(shù)后加上測(cè)試語(yǔ)句“and 1=1”，即：地址欄中填入“/page.xxx?name=value and 1=1”, 假如返回正確頁(yè)面則進(jìn)行下一步操作，否則跳到第4步。將被測(cè)參數(shù)后加上測(cè)試語(yǔ)句“and 1=2”（這里以第n個(gè)參數(shù)為例），其他參數(shù)保持

34、不變，即：地址欄中填入“/page.xxx? name=value and 1=2”, 假如返回正確頁(yè)面則進(jìn)行下一步操作，否則該參數(shù)存在注入漏洞，完成測(cè)試將被測(cè)參數(shù)后加上測(cè)試語(yǔ)句“ and 1=1”，即：地址欄中填入“/page.xxx? name=value and 1=1”, 假如返回正確頁(yè)面則進(jìn)行下一步操作，否則該參數(shù)存在注入漏洞，完成測(cè)試將被測(cè)參數(shù)后加上測(cè)試語(yǔ)句“ and 1=2”，即：地址欄中填入“/page.xxx? name=value and 1=2”, 假如返回正確頁(yè)面則不存在漏洞，否則該參數(shù)存在注入漏洞，完成測(cè)試預(yù)期結(jié)果不存在注入點(diǎn)備注頁(yè)面可能接受多個(gè)參數(shù)，需對(duì)每個(gè)參數(shù)都進(jìn)

35、行測(cè)試假如客戶端腳本對(duì)輸入數(shù)據(jù)進(jìn)行合法行校驗(yàn)，阻擋非法數(shù)據(jù)，可以通過(guò)方法（通過(guò)WebScarab攔截并修改參數(shù)值），繞過(guò)客戶端數(shù)據(jù)校驗(yàn)。POST、AJAX以及隱蔽域提交參數(shù)也需要測(cè)試（方法是通過(guò)WebScarab攔截HTTP懇求，找到提交的參數(shù)并參照上面的方法修改參數(shù)值）本測(cè)試包含了現(xiàn)有最常見(jiàn)的兩種測(cè)試方法測(cè)試結(jié)果編號(hào)Web _02測(cè)試用例名稱自動(dòng)化工具SQL注入測(cè)試測(cè)試目的由于SQL注入有可能造成信息泄漏，在嚴(yán)峻狀況下（依據(jù)用法的數(shù)據(jù)庫(kù)而定）甚至可能造成數(shù)據(jù)修改、刪除，從而導(dǎo)致業(yè)務(wù)中斷。因此必需發(fā)覺(jué)全部存在的注入點(diǎn)。用例級(jí)別一級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知待測(cè)目標(biāo)URL，假設(shè)為/page.

36、xxx待測(cè)目標(biāo)存在參數(shù)輸入，假設(shè)為name=value 測(cè)試用機(jī)安裝了pangolin測(cè)試工具執(zhí)行步驟運(yùn)行pangolin在URL輸入框中輸入/page.xxx?name=value點(diǎn)擊Check按鈕執(zhí)行掃描操作觀看結(jié)果預(yù)期結(jié)果Pangolin工具不能得到目標(biāo)服務(wù)器的注入類型和數(shù)據(jù)庫(kù)類型。備注頁(yè)面可能接受多個(gè)參數(shù)，需對(duì)每個(gè)參數(shù)都進(jìn)行測(cè)試測(cè)試結(jié)果SQL注入實(shí)例解析例1：網(wǎng)站地址，（用戶名：jsmith，密碼：Demo1234）用法下面的代碼，登陸系統(tǒng)的管理員用戶Username= or 1=1 - and password=demo1234例2：公司某系統(tǒng)的掃描結(jié)果如下：下圖為掃描工具推斷，我們

37、系統(tǒng)存在發(fā)出去的懇求響應(yīng)包含了SQL Server錯(cuò)誤，表明測(cè)試所插入的危急字符滲透了應(yīng)用程序并到達(dá)SQL查詢本身；如上圖，依據(jù)對(duì)應(yīng)的路徑，我們找到對(duì)應(yīng)的文件，如下圖：當(dāng)前工具推斷“l(fā)mbh”這個(gè)參數(shù)有存在SQL注入的風(fēng)險(xiǎn)，存在了5種變體那么，我們可以選擇其中一個(gè)變體，在掃瞄器上打開(kāi)對(duì)應(yīng)的頁(yè)面，如下圖： HYPERLINK 3:8010/plat/pages/platform/newmh/content/workfolwLmdynamic.jsp?lmbh=b844791e-ad96-4c45-a65b-4d76e857b811%a5%20having%201=1- 3:8010/plat/p

38、ages/platform/newmh/content/workfolwLmdynamic.jsp?lmbh=b844791e-ad96-4c45-a65b-4d76e857b811%a5%20having%201=1-所以，在掃描工具中，會(huì)推斷可能會(huì)導(dǎo)致SQL注入的可能緣由，開(kāi)發(fā)人員可以通過(guò)工具的提示信息，進(jìn)行修改；指令執(zhí)行測(cè)試編號(hào)Web _03測(cè)試用例名稱指令執(zhí)行測(cè)試測(cè)試目的某些頁(yè)面可能接受類似于文件名的參數(shù)用于下載或者顯示內(nèi)容。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知某頁(yè)面URL（假設(shè)為/abc.jsp）接收參數(shù)，且參數(shù)中接收類似于系統(tǒng)指令的字符（假設(shè)為cmd=ls）執(zhí)行步驟更改參數(shù)的值

39、為其他指令，可以嘗試以下一些字符串：net useripconfigcat /etc/passwd觀看頁(yè)面返回信息。比如用法net user指令的話，頁(yè)面中可能包含類似于如下的字符串：host 的用戶帳戶Administrator 預(yù)期結(jié)果頁(yè)面的源代碼中不包含類似于系統(tǒng)指令的返回信息。備注參考資料跨站腳本攻擊測(cè)試“跨站點(diǎn)腳本編制”攻擊是一種隱私違例，可讓攻擊者獵取合法用戶的憑證，并在與特定 Web 站點(diǎn)交互時(shí)假冒這位用戶?？缯军c(diǎn)腳本編制受到的威逼，（但不限于）以下幾種狀況：當(dāng)用戶查看基于攻擊者供應(yīng)的內(nèi)容而動(dòng)態(tài)生成的頁(yè)面時(shí)，他們會(huì)不知不覺(jué)地執(zhí)行惡意腳本；在用戶的會(huì)話 cookie 失效之前，攻擊

40、者就能接管用戶會(huì)話； 攻擊者可以將用戶連接到攻擊者選擇的惡意服務(wù)器上；攻擊者誘導(dǎo)用戶訪問(wèn)由攻擊者供應(yīng)的URL，從而導(dǎo)致在用戶的掃瞄器中執(zhí)行攻擊者選擇的腳本或 HTML。通過(guò)用法這種技術(shù)，攻擊者可以用法訪問(wèn)過(guò)此URL的用戶的特權(quán)來(lái)實(shí)行行動(dòng)，諸如對(duì)底層 SQL 數(shù)據(jù)庫(kù)發(fā)出查詢并查看其結(jié)果。 在上圖中，惡意攻擊者（這里用法 E 表示）通過(guò) E-mail 或 HTTP 將某銀行的網(wǎng)址鏈接發(fā)給用戶（銀行用 表示），該鏈接中附加了惡意的腳本（上圖步驟一）；用戶訪問(wèn)發(fā)來(lái)的鏈接，進(jìn)入銀行網(wǎng)站，同時(shí)，嵌在鏈接中的腳本被用戶的掃瞄器執(zhí)行（上圖步驟二、三）；用戶在銀行網(wǎng)站的全部操作，包括用戶的 cookie 和 s

41、ession 信息，都被腳本收集到，并且在用戶毫不知情的狀況下發(fā)送給惡意攻擊者（上圖步驟四）；惡意攻擊者用法偷來(lái)的 session 信息，偽裝成該用戶，進(jìn)入銀行網(wǎng)站，進(jìn)行非法活動(dòng)（上圖步驟五）。 因此，只要 Web 應(yīng)用中，有可被惡意攻擊者利用執(zhí)行腳本的地方，都存在極大的平安隱患。黑客們假如可以讓用戶執(zhí)行他們供應(yīng)的腳本，就可以從用戶正在掃瞄的域中偷到他的個(gè)人信息、可以完全修改用戶看到的頁(yè)面內(nèi)容、跟蹤用戶在掃瞄器中的每一個(gè)動(dòng)作，甚至利用用戶掃瞄器的缺陷完全把握用戶的機(jī)器。GET方式跨站腳本測(cè)試編號(hào)Web_XSS_01測(cè)試用例名稱GET方式跨站腳本測(cè)試測(cè)試目的由于跨站腳本會(huì)導(dǎo)致會(huì)話被劫持、敏感信息

42、泄漏、賬戶被盜，嚴(yán)峻時(shí)甚至造成數(shù)據(jù)修改、刪除，從而導(dǎo)致業(yè)務(wù)中斷，因此需檢測(cè)跨站腳本是否存在用例級(jí)別一級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知待測(cè)目標(biāo)URL，假設(shè)為/page.xxx待測(cè)目標(biāo)存在參數(shù)輸入，假設(shè)為name=value在某種狀況下，用戶輸入被重新顯示在網(wǎng)頁(yè)上，包括名字、帳號(hào)、檢索結(jié)果等等（說(shuō)明目標(biāo)網(wǎng)站服務(wù)器并沒(méi)有對(duì)用戶提交數(shù)據(jù)檢測(cè)）執(zhí)行步驟在輸入的參數(shù)后逐條添加以下語(yǔ)句，以第一條為例，輸入/page.xxx?name=alert(123456)只要其中一條彈出顯示123456的告警框，就說(shuō)明存在跨站漏洞，記錄漏洞，停止測(cè)試。假如沒(méi)有彈出顯示123456的告警框，則在返回的頁(yè)面上單擊鼠標(biāo)右鍵，

43、選擇“查看源文件”查找網(wǎng)頁(yè)源文件中是否包含完整的字符串a(chǎn)lert(123456)，則不管有沒(méi)有彈出顯示123456的告警框，都表明存在跨站腳本漏洞。由于有些HTML元素（比如或”）會(huì)影響腳本的執(zhí)行，所以不確定能夠正確彈出123456告警框，需要依據(jù)返回網(wǎng)頁(yè)源文件的內(nèi)容，構(gòu)造value的值，比如多行文本輸入框：alert(123456)文本輸入框：alert(123456) alert(123456)alert(123456)alert(123456)-alert(123456)imgjavascript:alert(123456)/imgscriptalert(123456)/scriptal

44、ert(123456)預(yù)期結(jié)果不存在跨站腳本漏洞備注需要對(duì)頁(yè)面上全部可以提交參數(shù)的地方進(jìn)行測(cè)試。具體跨站腳本的測(cè)試語(yǔ)句依據(jù)實(shí)際狀況的不同而不同，這里列出了一些最常見(jiàn)構(gòu)造語(yǔ)句。AppScan可以找出掃描到的頁(yè)面的絕大部分跨站腳本漏洞，但對(duì)沒(méi)有掃描到的網(wǎng)頁(yè)就無(wú)能為力了。測(cè)試結(jié)果POST方式跨站腳本測(cè)試編號(hào)Web_ XSS_02測(cè)試用例名稱POST方式跨站腳本測(cè)試測(cè)試目的由于跨站腳本會(huì)導(dǎo)致會(huì)話被劫持、敏感信息泄漏、賬戶被盜，嚴(yán)峻時(shí)甚至造成數(shù)據(jù)修改、刪除，從而導(dǎo)致業(yè)務(wù)中斷，因此需檢測(cè)跨站腳本是否存在用例級(jí)別一級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知待測(cè)目標(biāo)URL，假設(shè)為/page.xxx待測(cè)目標(biāo)以POST方式

45、提交參數(shù)，顯示為表單方式在某種狀況下，用戶輸入被重新顯示在網(wǎng)頁(yè)上，包括名字、帳號(hào)、檢索結(jié)果等等（說(shuō)明目標(biāo)網(wǎng)站服務(wù)器并沒(méi)有對(duì)用戶提交數(shù)據(jù)檢測(cè)）執(zhí)行步驟在POST表單中逐條輸入以下語(yǔ)句，只要其中一條彈出顯示123456的對(duì)話框，就說(shuō)明存在跨站漏洞，記錄漏洞，停止測(cè)試。alert(123456)imgjavascript:alert(123456);/img假如沒(méi)有彈出顯示123456的告警框，則在返回的頁(yè)面上單擊鼠標(biāo)右鍵，選擇“查看源文件”查找網(wǎng)頁(yè)源文件中是否包含完整的字符串a(chǎn)lert(123456)，則不管有沒(méi)有彈出顯示123456的告警框，都表明存在跨站腳本漏洞。由于有些HTML元素（比如或”

46、）會(huì)影響腳本的執(zhí)行，所以不確定能夠正確彈出123456告警框，需要依據(jù)返回網(wǎng)頁(yè)源文件的內(nèi)容，構(gòu)造value的值，比如alert(123456)alert(123456)alert(123456)alert(123456)-alert(123456)imgjavascript:alert(123456)/imgscriptalert(123456)/scriptalert(123456)預(yù)期結(jié)果不會(huì)彈出顯示123456的對(duì)話框。 備注需要對(duì)頁(yè)面上全部可以提交參數(shù)的地方進(jìn)行測(cè)試。測(cè)試結(jié)果跨站腳本工具實(shí)例解析例：公司某系統(tǒng)的掃描結(jié)果如下（獵取cookie信息）：下圖為掃描工具推斷，我們系統(tǒng)開(kāi)發(fā)代碼中

47、可能毀滅下面的代碼語(yǔ)句（具體可以打開(kāi)對(duì)應(yīng)的文件查看），這種代碼可能會(huì)讓黑客進(jìn)行跨站點(diǎn)攻擊；如上圖，/plat/”alert(51446)為修改后的代碼內(nèi)容，假如在掃瞄器上呈現(xiàn)，如下圖：這樣黑客也可以修改為:/plat/”alert(document.cookie)，來(lái)獵取我們系統(tǒng)中的cookie信息，如下圖：從上圖彈出的cookie信息中，黑客可以通過(guò)獵取sessionID模擬合法用戶（假如需要彈出該提示，需要修改IE掃瞄器的設(shè)置，關(guān)閉IE“internet選項(xiàng)-平安-腳本-自定義級(jí)別-腳本-禁用 XSS篩選器”）。所以，在掃描工具中，會(huì)推斷可能會(huì)導(dǎo)致跨站點(diǎn)腳本工具的可能緣由，開(kāi)發(fā)人員可以通過(guò)

48、工具的提示信息，進(jìn)行修改；權(quán)限管理測(cè)試橫向測(cè)試編號(hào)Web_01測(cè)試用例名稱基于用戶身份處理的橫向越權(quán)操作測(cè)試測(cè)試目的發(fā)覺(jué)頁(yè)面中存在的橫向越權(quán)操作。用例級(jí)別一級(jí)L測(cè)試條件Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別把握已知某頁(yè)面（假設(shè)為/abc.jsp）.提交的參數(shù)中存在著代表用戶（假設(shè)為userA）身份的標(biāo)記（假設(shè)為operator）與userA同級(jí)別權(quán)限的用戶userB測(cè)試用機(jī)安裝了WebScarab軟件執(zhí)行步驟運(yùn)行WebScarab點(diǎn)擊Proxy標(biāo)簽頁(yè)-Manual Edit標(biāo)簽頁(yè)選中Intercept requests打開(kāi)掃瞄器，在代理地址中配置host為，port為8008用法userA的

49、身份登陸到Web應(yīng)用進(jìn)入/abc.jsp頁(yè)面，提交數(shù)據(jù)在彈出的對(duì)話框中的URLEncoded頁(yè)面中，更改operator參數(shù)的值為userB，再點(diǎn)擊Accept Changes按鈕提交觀看服務(wù)器處理預(yù)期結(jié)果服務(wù)器返回操作失敗或者以u(píng)serA的用戶身份操作。備注假如參數(shù)是基于GET方式的URL傳遞，則不需要通過(guò)WebScarab工具，挺直在URL中進(jìn)行修改提交即可。參考資料縱向測(cè)試橫向測(cè)試的兩個(gè)用例在本測(cè)試類別中同樣用法，只需要對(duì)用戶身份進(jìn)行測(cè)試時(shí)用法上下級(jí)權(quán)限即可。在下面的測(cè)試中，我們更偏向于用法白盒測(cè)試。這樣對(duì)于測(cè)試人員來(lái)說(shuō)節(jié)省了格外多的時(shí)間。而且也能夠全面掩蓋全部的頁(yè)面。編號(hào)Web _03

50、測(cè)試用例名稱基于菜單URL的測(cè)試測(cè)試目的發(fā)覺(jué)應(yīng)用中存在的URL縱向越權(quán)操作。用例級(jí)別一級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別把握擁有超級(jí)管理員及一般用戶的帳號(hào)和密碼執(zhí)行步驟以超級(jí)管理員身份登陸Web網(wǎng)站單擊鼠標(biāo)右鍵，選擇“查看源文件”在網(wǎng)頁(yè)“源文件”中查找重要的管理菜單（比如用戶管理）的URL鏈接，并拷貝URL鏈接地址退出登陸以一般用戶身份登陸Web網(wǎng)站在掃瞄器地址欄中輸入“用戶管理”的URL地址（如/usermanage.do），然后回車觀看一般用戶是否能夠順當(dāng)進(jìn)入“用戶管理”頁(yè)面，并進(jìn)行用戶管理操作。預(yù)期結(jié)果一般用戶不能夠通過(guò)挺直URL訪問(wèn)、用法未授權(quán)的功能。備注測(cè)試結(jié)果編號(hào)W

51、eb _04測(cè)試用例名稱基于爬行的測(cè)試測(cè)試目的發(fā)覺(jué)頁(yè)面中存在的縱向越權(quán)操作。用例級(jí)別一級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別把握已知待測(cè)目標(biāo)URL，假設(shè)為/page.xxx測(cè)試用機(jī)上安裝了AppScan執(zhí)行步驟雙擊運(yùn)行AppScan，選擇filenew新建掃描，選擇掃描模板default彈出掃描配置對(duì)話框，選擇掃描類型，默認(rèn)為Web Application Scan，點(diǎn)擊next在Starting URL中填入需掃描的目標(biāo)服務(wù)器域名或IP地址，其他配置不需修改，點(diǎn)擊next選擇默認(rèn)的Recorded Login(recommended method)，點(diǎn)擊New在彈出的頁(yè)面中用權(quán)限

52、較高的用戶身份登錄，如：admin等關(guān)閉頁(yè)面，彈出如下對(duì)話框，點(diǎn)擊OK不需修改任何參數(shù)，點(diǎn)擊next不需修改參數(shù)，選擇Start a full automatic scan，點(diǎn)擊finish完成配置，開(kāi)頭掃描掃描完成，保存掃描結(jié)果，假設(shè)命名為admin.scan重新開(kāi)頭掃描，重復(fù)步驟1、2、3在選擇用戶身份（即：第4步）時(shí)，選擇NoLogin，點(diǎn)擊next在彈出的配置對(duì)話框中（即：第7步的對(duì)話框）選擇Advanced Test Settings，彈出下面對(duì)話框，點(diǎn)擊Configure選項(xiàng)在Privilege Escalation中，點(diǎn)擊Add添加已經(jīng)掃描出的結(jié)果；點(diǎn)擊打開(kāi)導(dǎo)入掃描結(jié)果；并用一個(gè)

53、名稱標(biāo)記它，如：admin，點(diǎn)擊ok然后點(diǎn)擊ok返回掃描配置對(duì)話框，如第7步的圖示，點(diǎn)擊next到第8步所示對(duì)話框中，不需修改參數(shù)，點(diǎn)擊finish開(kāi)頭做越權(quán)掃描掃描完成，保存結(jié)果分析掃描結(jié)果預(yù)期結(jié)果掃描結(jié)果中不會(huì)提示存在漏洞。備注參考資料服務(wù)器信息收集運(yùn)行賬號(hào)權(quán)限測(cè)試編號(hào)Web_01測(cè)試用例名稱運(yùn)行帳號(hào)權(quán)限測(cè)試測(cè)試目的運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)權(quán)限越高，那么Web遭到攻擊產(chǎn)生的危害就越大。因此，不應(yīng)用法“root”、“administrator”、等特權(quán)帳號(hào)或高級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)來(lái)運(yùn)行Web，應(yīng)當(dāng)盡可能地用法低級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)。用例級(jí)別一級(jí)測(cè)試條件已知Web網(wǎng)站IP地址和登陸帳

54、號(hào)、密碼執(zhí)行步驟登陸Web服務(wù)器操作系統(tǒng)查看運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)，不是“root”、“administrator”等特權(quán)帳號(hào)或高級(jí)別權(quán)限帳號(hào)，假如是則存在漏洞。window：打開(kāi)任務(wù)管理器，選擇“進(jìn)程”頁(yè)，勾選左下方的“顯示全部用戶的進(jìn)程”，檢查運(yùn)行Web服務(wù)器的帳號(hào)；預(yù)期結(jié)果沒(méi)有用法“root”、“administrator”等特權(quán)操作系統(tǒng)帳號(hào)運(yùn)行Web。備注測(cè)試結(jié)果Web服務(wù)器端口掃描編號(hào)Web _02測(cè)試用例名稱Web服務(wù)器端口掃描測(cè)試目的有時(shí)Web應(yīng)用服務(wù)器除業(yè)務(wù)端口外還會(huì)開(kāi)放一些默認(rèn)端口，這些默認(rèn)端口對(duì)最終用戶是不需要開(kāi)放的，而且也不會(huì)用于維護(hù)，簡(jiǎn)潔被攻擊，本測(cè)試目的在于發(fā)

55、覺(jué)服務(wù)器上未用法的Web端口。用例級(jí)別一級(jí)測(cè)試條件已知Web服務(wù)器域名或IP地址，假設(shè)IP地址為測(cè)試用機(jī)安裝了nmap，假設(shè)路徑為d:nmap執(zhí)行步驟運(yùn)行如下指令：Nmap sP ，來(lái)推斷目標(biāo)主機(jī) Windows Server A 是否可連通用法常規(guī)掃描方式對(duì)目標(biāo)主機(jī)進(jìn)行 TCP 端口掃描，運(yùn)行如下指令：Nmap sT 觀看結(jié)果，看是否為必需開(kāi)放的Web服務(wù)端口。預(yù)期結(jié)果系統(tǒng)未開(kāi)放業(yè)務(wù)不需要用法的端口。備注各種參數(shù)掃描請(qǐng)參考利用nmap進(jìn)行端口掃描測(cè)試結(jié)果文件、名目測(cè)試工具方式的敏感接口遍歷編號(hào)Web_01測(cè)試用例名稱工具方式的敏感接口遍歷測(cè)試目的網(wǎng)站名目查找是進(jìn)行攻擊的必備學(xué)問(wèn)，只有知道了名

56、目信息才能確定攻擊的目標(biāo)，進(jìn)行名目查找是測(cè)試的首要階段，一般掃描工具進(jìn)行掃描前首先要進(jìn)行名目查找。其次對(duì)于某些隱蔽的管理接口（名目或文件），雖然沒(méi)有對(duì)外有明顯的鏈接，但是通過(guò)一系列有特定含義的枚舉是可以訪問(wèn)的。用例級(jí)別二級(jí)測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址測(cè)試用機(jī)上需安裝JRE測(cè)試用機(jī)上有DirBuster軟件執(zhí)行步驟雙擊運(yùn)行DirBuster.jar在host欄中填入目標(biāo)IP地址或域名，在Port欄中輸入服務(wù)器對(duì)應(yīng)的端口；假如服務(wù)器只接受HTTPS懇求，則需要選擇Protocol為HTTPS在file with list of dirs/files 欄后點(diǎn)擊browse，

57、選擇破解的字典庫(kù)為directory-list-2.3-small.txt將File extension中填入正確的文件后綴，默認(rèn)為php，假如為jsp頁(yè)面，需要填入jsp其他選項(xiàng)不變，點(diǎn)擊右下角的start，啟動(dòng)名目查找觀看返回結(jié)果，可點(diǎn)擊右下角的report，生成名目報(bào)告預(yù)期結(jié)果經(jīng)過(guò)分析以后的結(jié)果中，業(yè)務(wù)系統(tǒng)不存在不需要對(duì)外開(kāi)放的敏感接口，或者該接口進(jìn)行了完善的權(quán)限把握。備注舉一個(gè)測(cè)試不通過(guò)的例子：TypeFoundResponseFile/admin/adduser.jsp200測(cè)試結(jié)果名目列表測(cè)試編號(hào)SEC_Web_ DIR_04測(cè)試用例名稱名目列表測(cè)試測(cè)試目的名目列表能夠造成信息泄漏

58、，而且對(duì)于攻擊者而言是格外簡(jiǎn)潔進(jìn)行的。所以在測(cè)試過(guò)程中，我們應(yīng)當(dāng)找出全部的名目列表漏洞。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址測(cè)試用機(jī)上需安裝JRE測(cè)試用機(jī)上有DirBuster軟件執(zhí)行步驟雙擊運(yùn)行DirBuster-0.9.8.jar在host欄中填入目標(biāo)IP地址或域名，在Port欄中輸入服務(wù)器對(duì)應(yīng)的端口；假如服務(wù)器只接受HTTPS懇求，則需要選擇Protocol為HTTPS在file with list of dirs/files 欄后點(diǎn)擊browse，選擇破解的字典庫(kù)為directory-list-2.3-small.txt：去除Burte Force File

59、s選項(xiàng)其他選項(xiàng)不變，點(diǎn)擊右下角的start，啟動(dòng)名目查找依次右擊Response值為200的行，在毀滅的菜單中點(diǎn)擊Open In Browser分析結(jié)果預(yù)期結(jié)果全部對(duì)名目的訪問(wèn)均不能打印出文件列表。備注測(cè)試結(jié)果文件歸檔測(cè)試編號(hào)Web _05測(cè)試用例名稱文件歸檔測(cè)試測(cè)試目的在網(wǎng)站管理員的維護(hù)過(guò)程中，很多狀況下會(huì)對(duì)程序或者頁(yè)面進(jìn)行備份（可能是有意的或者是無(wú)意的，如ultraedit在修改后會(huì)生成文件名加bak后綴的文件）。攻擊者通過(guò)挺直訪問(wèn)這些備份的路徑可以下載文件用例級(jí)別1測(cè)試條件擁有運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)和口令Web業(yè)務(wù)運(yùn)行正常執(zhí)行步驟登陸后臺(tái)Web服務(wù)器的操作系統(tǒng)以cd指令進(jìn)入可以通

60、過(guò)Web方式訪問(wèn)的名目（比如tomcat服務(wù)器的$home/webapps名目，jboss服務(wù)器的$home/jboss/server/default/deploy名目）用find指令，查找是否存在以下備份文件，假如存在則測(cè)試不通過(guò)。*.bak*.BAK *.old*.OLD*.zip*.ZIP*.rar*.tar*.temp*.save*.backup預(yù)期結(jié)果可以通過(guò)Web方式訪問(wèn)的名目，不存在開(kāi)發(fā)過(guò)程（包括現(xiàn)場(chǎng)定制）中的產(chǎn)生的臨時(shí)文件、備份文件等。備注測(cè)試結(jié)果認(rèn)證測(cè)試驗(yàn)證碼測(cè)試編號(hào)Web _01測(cè)試用例名稱驗(yàn)證碼測(cè)試測(cè)試目的查看是否有驗(yàn)證碼機(jī)制，以及驗(yàn)證碼機(jī)制是否完善用例級(jí)別一級(jí)測(cè)試條件已