網(wǎng)站安全性測試要點(diǎn)

1、1安全測試檢查點(diǎn)1.1網(wǎng)頁安全檢查點(diǎn)輸入的數(shù)據(jù)沒有進(jìn)行有效的控制和驗(yàn)證1）數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）2）允許的字符集3）最小和最大的長度4）是否允許空輸入5）參數(shù)是否是必須的6）重復(fù)是否允許7）數(shù)值范圍8）特定的值（枚舉型）用戶名和密碼1）檢測接口程序連接登錄時(shí)，是否需要輸入相應(yīng)的用戶2）是否設(shè)置密碼最小長度（密碼強(qiáng)度）3）用戶名和密碼中是否可以有空格或回車？4）是否允許密碼和用戶名一致5）防惡意注冊：可否用自動(dòng)填表工具自動(dòng)注冊用戶？6）遺忘密碼處理7）有無缺省的超級用戶？8）有無超級密碼？9）是否有校驗(yàn)碼？10）密碼錯(cuò)誤次數(shù)有無限制？11）大小寫敏感？12）口令不允許以明碼顯示在輸出

2、設(shè)備上13）強(qiáng)制修改的時(shí)間間隔限制（初始默認(rèn)密碼）14）口令的唯一性限制（看需求是否需要）15）口令過期失效后，是否可以不登陸而直接瀏覽某個(gè)頁面16）哪些頁面或者文件需要登錄后才能訪問/下載17）cookie中或隱藏變量中是否含有用戶名、密碼、userid等關(guān)鍵信息直接輸入需要權(quán)限的網(wǎng)頁地址可以訪問避免研發(fā)只是簡單的在客戶端不顯示權(quán)限高的功能項(xiàng)舉例Bug：1）沒有登錄或注銷登錄后，直接輸入登錄后才能查看的頁面的網(wǎng)址（含跳轉(zhuǎn)頁面）， 能直接打開頁面；2）注銷后，點(diǎn)瀏覽器上的后退，可以進(jìn)行操作。3）正常登錄后，直接輸入自己沒有權(quán)限查看的頁面的網(wǎng)址，可以打開頁面。4）通過Http抓包的方式獲取Htt

3、p請求信息包經(jīng)改裝后重新發(fā)送5）從權(quán)限低的頁面可以退回到高的頁面（如發(fā)送消息后，瀏覽器后退到信息填寫頁面，這就是錯(cuò)誤的）上傳文件沒有限制1）上傳文件還要有大小的限制。2）上傳木馬病毒等（往往與權(quán)限一起驗(yàn)證）3）上傳文件最好要有格式的限制；不安全的存儲(chǔ)1）在頁面輸入密碼，頁面應(yīng)顯示“*”；2）數(shù)據(jù)庫中存的密碼應(yīng)經(jīng)過加密；3）地址欄中不可以看到剛才填寫的密碼；4）右鍵查看源文件不能看見剛才輸入的密碼；5）帳號列表：系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號，如果必須要一個(gè)用戶列表， 推薦使用某種形式的假名（屏幕名）來指向?qū)嶋H的帳號操作時(shí)間的失效性1）檢測系統(tǒng)是否支持操作失效時(shí)間的配置，同時(shí)達(dá)到所配置的

4、時(shí)間內(nèi)沒有對界面進(jìn)行 任何操作時(shí)，檢測系統(tǒng)是否會(huì)將用戶自動(dòng)失效，需要重新登錄系統(tǒng)。2）支持操作失效時(shí)間的配置。3）支持當(dāng)用戶在所配置的時(shí)間內(nèi)沒有對界面進(jìn)行任何操作則該應(yīng)用自動(dòng)失效。如，用戶登陸后在一定時(shí)間內(nèi)（例如15分鐘）沒有點(diǎn)擊任何頁面，是否需要重新登陸 才能正常使用。1.1.7日志完整性1）檢測系統(tǒng)運(yùn)行時(shí)是否會(huì)記錄完整的日志如進(jìn)行詳單查詢，檢測系統(tǒng)是否會(huì)記錄相應(yīng)的操作員、操作時(shí)間、系統(tǒng)狀態(tài)、操 作事項(xiàng)、IP地址等。2）檢測對系統(tǒng)關(guān)鍵數(shù)據(jù)進(jìn)行增加、修改和刪除時(shí)，系統(tǒng)是否會(huì)記錄相應(yīng)的修改時(shí)間、操作人員和修改前的數(shù)據(jù)記錄1.2系統(tǒng)服務(wù)器安全檢查點(diǎn)1）檢查關(guān)閉不必要的服務(wù)2）是否建立安全賬號策略和

5、安全日志3）是否已設(shè)置安全的IIS，刪除不必要的IIS組件和進(jìn)行IIS安全配置4）Web站點(diǎn)目錄的訪問權(quán)限是否過大5）服務(wù)器系統(tǒng)補(bǔ)丁是否打上，是否存在系統(tǒng)漏洞6）掃描檢測木馬1.3數(shù)據(jù)庫安全檢查點(diǎn)系統(tǒng)數(shù)據(jù)是否機(jī)密1）盡量不要使用Sa賬戶，密碼夠復(fù)雜2）嚴(yán)格控制數(shù)據(jù)庫用戶的權(quán)限，不要輕易給用戶直接的查詢、更改、插入、刪除權(quán) 限?？梢灾唤o用戶以訪問視圖和執(zhí)行存儲(chǔ)過程的權(quán)限3）數(shù)據(jù)庫的帳號，密碼（還有端口號）是不是直接寫在配置文件里而沒有進(jìn)行加密系統(tǒng)數(shù)據(jù)的完整性系統(tǒng)數(shù)據(jù)可管理性系統(tǒng)數(shù)據(jù)的獨(dú)立性系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力（數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整）1）服務(wù)器突然斷電，這可能導(dǎo)致配置文

6、件的錯(cuò)誤導(dǎo)致無法訪問或者數(shù)據(jù)的丟失2）重做日志發(fā)生損壞，這可能導(dǎo)致數(shù)據(jù)庫管理員無法把數(shù)據(jù)恢復(fù)到故障發(fā)生時(shí)的點(diǎn);3）硬盤發(fā)生故障而導(dǎo)致數(shù)據(jù)丟失，這主要是要測試備份文件異地存放的有效性4）數(shù)據(jù)批量更新的錯(cuò)誤處理，這主要是數(shù)據(jù)庫備份測試數(shù)據(jù)庫管理員在進(jìn)行批量更 新之前是否有先對數(shù)據(jù)庫進(jìn)行備份的習(xí)慣，等等。1.3支付接口檢查點(diǎn)支付的接口支付的入口與各個(gè)銀行的數(shù)據(jù)接口安全與支付寶的接口2信息安全入侵測試2.1上傳漏洞利用上傳漏洞可以直接得到網(wǎng)頁管理員權(quán)限，危害等級超級高，現(xiàn)在的入侵中上傳漏洞 也是常見的漏洞。“上傳漏洞”入侵是目前對網(wǎng)站最廣泛的入侵方法。90%的具有上傳頁面 的網(wǎng)站，都存在上傳漏洞。網(wǎng)站

7、有上傳頁面，如果頁面對上傳文件擴(kuò)展名過濾不嚴(yán)，導(dǎo)致黑 客能直接上傳帶木馬的文件，直接上傳后即擁有網(wǎng)站的管理員控制權(quán)。2.2暴庫暴庫，就是通過一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫的地址，并將數(shù)據(jù)非法下載到本 地。比如一個(gè)站的地址為 HYPERLINK /dispbbs.asp?boardID=7&ID=161%ef%bc%8c%e5%b0%b1%e5%8f%af%e4%bb%a5%e6%8a%8a /dispbbs.asp?boardID=7&ID=161，就可以把 com/dispbbs中間的/換成%5c，如果有漏洞直接得到數(shù)據(jù)庫的絕對路徑。用迅雷什么的下載 下來就可以了。還有種方法就是利用默認(rèn)

8、的數(shù)據(jù)庫路徑 HYPERLINK /%e5%90%8e%e9%9d%a2%e5%8a%a0%e4%b8%8a /后面加上 conn.asp如果沒有修改默認(rèn)的數(shù)據(jù)庫路徑也可以得到數(shù)據(jù)庫的路徑。2.3注入漏洞注入漏洞是利用某些輸入或者資料輸入特性以導(dǎo)入某些資料或者代碼，造成目標(biāo)系統(tǒng)操 作崩潰的電腦漏洞，通常這些漏洞安全隱患是由不充分的輸入確認(rèn)及其他種種因素造成的。 我們需要使用到以下幾種方式進(jìn)行測試：2.3.1 SQL 攻擊簡稱注入攻擊，是發(fā)生于應(yīng)用程序之?dāng)?shù)據(jù)庫層的安全漏洞。簡而言之，是在輸入的字 符串之中注入SQL指令，在設(shè)計(jì)不良的程序當(dāng)中忽略了檢查，那么這些注入進(jìn)去的指令就 會(huì)被數(shù)據(jù)庫服務(wù)器誤

9、認(rèn)為是正常的SQL指令而運(yùn)行，因此遭到破壞。測試方法：某個(gè)網(wǎng)站的登錄驗(yàn)證的SQL查詢代碼為strSQL = SELECT * FROM users WHERE (name = + userName + ) and (pw = + passWord +);惡意填入userName = OR 1=1;與passWord = OR 1=1;時(shí)，將導(dǎo)致原本的SQL字符串被填為strSQL = SELECT * FROM users WHERE (name = OR 1=1) and (pw = OR 1=1);也就是實(shí)際上運(yùn)行的SQL命令會(huì)變成下面這樣的strSQL = SELECT * FROM u

10、sers;因此達(dá)到無帳號密碼，亦可登錄網(wǎng)站。2.3.2跨網(wǎng)站指令碼網(wǎng)站應(yīng)用程式的安全漏洞攻擊，允許惡意使用者將程式碼注入到網(wǎng)頁上，其他使用者 在觀看網(wǎng)頁時(shí)就會(huì)受到影響。這類攻擊通常包含了 HTML以及使用者端腳本語言。測試方法：通常有一些方式可以測試網(wǎng)站是否有正確處理特殊字符：alert(document.cookie)=alert(document.cookie)alert(document.cookie)alert(vulnerable)%3Cscript%3Ealert(XSS)%3C/script%3Ealert(XSS) (這個(gè)僅限 IE 有效)使用者可做一個(gè)網(wǎng)頁，試著用JavaScript把document.cookie當(dāng)成參數(shù)丟過去，然后再 把它記錄下來，這即是偷cookie。XSS攻擊方法有：偷 cookie。利用iframe或frame存取管理頁面或后臺(tái)頁面。利用XMLHttpRequest存取管理頁面或后臺(tái)頁面。2.4旁注我們?nèi)肭帜痴緯r(shí)可能這個(gè)站堅(jiān)固的無懈可擊，我們可以找下和這個(gè)站同一服務(wù)器的站點(diǎn)， 然后在利用這個(gè)站點(diǎn)用提權(quán)，嗅探等方法來入侵我們要入侵的站點(diǎn)。2.5 COOKIE 詐騙COOKIE是上網(wǎng)時(shí)由網(wǎng)站所為發(fā)送的值，記錄了你的一些資料，比如IP，姓名。如果已經(jīng) 知道了 XX