WEB安全測試培訓(xùn)

WEB安全培訓(xùn)

更多軟件測試資料盡在road軟件測試論壇/bbs/知己知彼，百戰(zhàn)不殆Contents用戶輸入1WEB程序安全問題2WEB服務(wù)器端安全問題3WEB應(yīng)用掃描器4用戶的輸入所有用戶輸入都是非法的，除非被證明不是一半以上的程序安全問題源于缺乏對用戶可控?cái)?shù)據(jù)的處理程序員如果本著人之初性本善的想法，那么寫的程序難免出問題

用戶輸入直接輸入GETPOSTCookieHTTP頭環(huán)境變量間接輸入數(shù)據(jù)庫取出的數(shù)據(jù)編碼的用戶數(shù)據(jù)WEB程序安全問題SQL注入跨站腳本UrlRedirect跳轉(zhuǎn)AccessControl越權(quán)訪問SQL注入SQL注入簡介拼接的SQL字符串改變了設(shè)計(jì)者原來的意圖，執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)據(jù)庫服務(wù)器拼接SQL字符串靈活方便，但是容易導(dǎo)致安全問題SQL注入SQL注入原理http://victim/news.php?id=3721select*fromnewswhereid=$idselect*fromnewswhereid=3721SQL注入利用利用示例http://victim/news.php?id=0unionselectname,pwfromusersselect*fromnewswhereid=$idselect*fromnewswhereid=0unionselectname,pwfromusersSQL注入的危害泄露敏感信息攻擊者可以獲取后臺數(shù)據(jù)庫的種類、版本，操作系統(tǒng)信息，數(shù)據(jù)庫名、表名、字段名以及數(shù)據(jù)庫中的數(shù)據(jù)信息泄露敏感信息無需知道口令就能以用戶身份登陸應(yīng)用系統(tǒng)篡改敏感數(shù)據(jù)對數(shù)據(jù)庫進(jìn)行增加、刪除、篡改的操作執(zhí)行任意系統(tǒng)命令利用數(shù)據(jù)庫支持的特定功能，執(zhí)行任意命令SQL注入的危害不同的數(shù)據(jù)庫，不同的數(shù)據(jù)庫配置，危害程度不一樣SQLServer默認(rèn)配置并且使用sa帳號MySQL版本、數(shù)據(jù)庫root帳號、系統(tǒng)root用戶啟動服務(wù)SQL注入避免SQL注入過濾拼接字符串中的用戶數(shù)據(jù)，尤其不能忽視間接輸入數(shù)據(jù)的SQL語句拼接如果可能，使用其他方法代替SQL語句拼接使用WEB應(yīng)用掃描器檢測程序相對比較明顯的SQL注入問題跨站腳本跨站腳本簡介跨站腳本(Cross-SiteScripting)是指遠(yuǎn)程WEB頁面的html代碼可以插入具有惡意目的的數(shù)據(jù)，當(dāng)瀏覽器下載該頁面，嵌入其中的惡意腳本將被解釋執(zhí)行，從而對客戶端用戶造成傷害。簡稱CSS或XSS不影響服務(wù)端程序，但影響客戶端跨站腳本請求：/?name=<script>alert(/XSS/)</script>展現(xiàn)：<html><body><p>Hello<script>alert(/XSS/)</script></p></body></html>跨站腳本危害竊取Cookiedocument.cookie頁面內(nèi)容被篡改Js代碼改寫/跳轉(zhuǎn)頁面蠕蟲Myspace新浪微博惡意代碼跨站腳本防御顯示用戶數(shù)據(jù)時對“<>&”等HTML符號進(jìn)行編碼轉(zhuǎn)換htmlspecialchars過濾必要的XHTML屬性及各種編碼，尤其在WEB提供樣式功能的時候設(shè)計(jì)時要考慮到關(guān)鍵內(nèi)容不能由用戶的直接數(shù)據(jù)顯示，要有轉(zhuǎn)換或后臺間接審核的過程用WEB應(yīng)用掃描器對程序進(jìn)行檢測UrlRedirect跳轉(zhuǎn)UrlRedirect釣魚攻擊原理redirect.htm?target=URL跳轉(zhuǎn)攻擊QQQQ用戶URL跳轉(zhuǎn)攻擊UrlRedirect策略目標(biāo)地址應(yīng)限制跳轉(zhuǎn)到當(dāng)前域內(nèi)如果需要跳轉(zhuǎn)到外部鏈接需要有url的白名單AccessControlAccessControl攻擊例子(前臺代碼)<formaction="/message/pmsg/read.html"method="post"><inputtype="hidden"name="messageId"value="54981193"><inputtype="button"name="delete"value="刪除留言"onClick="delMessage()">AccessControlAccessControl攻擊例子(后臺代碼)publicbooleancanManageMssage(){if(isAdmin()){returntrue;}……}檢查了角色但是短消息屬于用戶，不屬于角色AccessControlAccessControl安全策略權(quán)限框架SQL語句條件Cookie的安全簡介Cookie是Netscape的一個重大發(fā)明，當(dāng)用戶訪問網(wǎng)站時，它能夠在訪問者的機(jī)器保存一段信息，可以用來標(biāo)識各種屬性。當(dāng)用戶再次訪問這個網(wǎng)站的時候，它又能夠讀出這些信息，這樣WEB程序就能知道該用戶上次的操作Cookie大大提高了用戶體驗(yàn)，被廣泛使用Cookie的安全Cookie的欺騙Cookie是純客戶端數(shù)據(jù)，非常容易偽造文件型的Cookie可以直接改瀏覽器的Cookie文件通過curl或firefox的LiveHTTPHeaders插件可以輕松偽造各種類型的Cookie數(shù)據(jù)Cookie的安全使用Cookie時應(yīng)注意的問題盡量不要用Cookie明文存儲敏感信息數(shù)據(jù)加密后保存到客戶端的Cookie為Cookie設(shè)置適當(dāng)?shù)挠行r間WEB服務(wù)器端安全問題合理的文件權(quán)限設(shè)置取消WEB用戶對apache日志的讀權(quán)限nobody有寫權(quán)限的WEB目錄取消解析權(quán)限WEB服務(wù)器端安全問題信息泄露服務(wù)器版本信息泄露運(yùn)行環(huán)境遺留測試文件phpinfo.phpconn.asp.bak程序出錯泄露物理路徑程序查詢出錯返回SQL語句過于詳細(xì)的用戶驗(yàn)證返回信息WEB應(yīng)用掃描器AppScan非常專業(yè)的商業(yè)WEB應(yīng)用掃描器功能強(qiáng)大，準(zhǔn)確率高，尤其是跨站腳本和SQL注入的檢測掃描速度較慢