安全測(cè)試方案

文檔設(shè)計(jì)目的設(shè)計(jì)概述本測(cè)試主要包括主動(dòng)模式和被動(dòng)模式兩種。在被動(dòng)模式中，測(cè)試人員盡可能的了解應(yīng)用邏輯：比如用工具分析所有的HTTP請(qǐng)求及響應(yīng)，以便測(cè)試人員掌握應(yīng)用程序所有的接入點(diǎn)（包括HTTP頭，參數(shù)，cookies等）；在主動(dòng)模式中，測(cè)試人員試圖以黑客的身份來對(duì)應(yīng)用及其系統(tǒng)、后臺(tái)等進(jìn)行滲透測(cè)試，其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)等。一般測(cè)試人員需要先熟悉目標(biāo)系統(tǒng)，即被動(dòng)模式下的測(cè)試，然后再開展進(jìn)一步的分析，即主動(dòng)模式下的測(cè)試。主動(dòng)測(cè)試會(huì)與被測(cè)目標(biāo)進(jìn)行直接的數(shù)據(jù)交互，而被動(dòng)測(cè)試不需要。面對(duì)的可能威脅保密性網(wǎng)絡(luò)竊聽、竊取主機(jī)數(shù)據(jù)、竊取網(wǎng)絡(luò)配置信息、竊取用戶連接信息完整性對(duì)數(shù)據(jù)的篡改、特洛伊木馬程序可用性終止用戶進(jìn)程攻擊、帶寬攻擊、耗盡系統(tǒng)資源攻擊、DNS欺騙攻擊隔離主機(jī)可追究性偽裝合法用戶、數(shù)據(jù)偽造2軟件安全測(cè)試方法安全測(cè)試流程設(shè)計(jì)

信息獲取造成完成身份仿冒j信息泄漏數(shù)據(jù)破壞0 拒絕服務(wù)被動(dòng)模式初始化主動(dòng)模式上傳下載認(rèn)證測(cè)試自動(dòng)化Web漏洞掃描工具測(cè)試自動(dòng)化掃描工具只能檢測(cè)到部分常見的漏洞（如跨站腳本、SQL注入等），不是針對(duì)用戶代碼的，也就是說不能理解業(yè)務(wù)邏輯，無法對(duì)這些漏洞做進(jìn)一步業(yè)務(wù)上的判斷。往往最嚴(yán)重的安全問題并不是常見的漏洞，而是通過這些漏洞針對(duì)業(yè)務(wù)邏輯和應(yīng)用的攻擊。Web目前分為application和Webservice兩部分。Application指通常意義上的Web應(yīng)用，而Webservice是一種面向服務(wù)的架構(gòu)的技術(shù)，通過標(biāo)準(zhǔn)的Web協(xié)議（如HTTP、信息獲取造成完成身份仿冒j信息泄漏數(shù)據(jù)破壞0 拒絕服務(wù)被動(dòng)模式初始化主動(dòng)模式上傳下載認(rèn)證測(cè)試自動(dòng)化Web漏洞掃描工具測(cè)試自動(dòng)化掃描工具只能檢測(cè)到部分常見的漏洞（如跨站腳本、SQL注入等），不是針對(duì)用戶代碼的，也就是說不能理解業(yè)務(wù)邏輯，無法對(duì)這些漏洞做進(jìn)一步業(yè)務(wù)上的判斷。往往最嚴(yán)重的安全問題并不是常見的漏洞，而是通過這些漏洞針對(duì)業(yè)務(wù)邏輯和應(yīng)用的攻擊。Web目前分為application和Webservice兩部分。Application指通常意義上的Web應(yīng)用，而Webservice是一種面向服務(wù)的架構(gòu)的技術(shù)，通過標(biāo)準(zhǔn)的Web協(xié)議（如HTTP、XML、SOAP、歸檔測(cè)試權(quán)限測(cè)試參數(shù)分析會(huì)話管理接口測(cè)試備份文件異常處理越權(quán)操作暴力破解認(rèn)證繞過目錄列表文件包含后臺(tái)查找注入測(cè)試命令執(zhí)行信息竊取跨站腳本拒絕服務(wù)邏輯處理熟悉業(yè)務(wù)邏輯Web結(jié)構(gòu)獲取GoogleHacking日志檢查WSDL）提供服務(wù)。AppScanapplication掃描測(cè)試編號(hào)測(cè)試用例名稱AppScanapplication掃描測(cè)試測(cè)試目的利用自動(dòng)化的Web安全掃描工具AppScan進(jìn)行掃描，以發(fā)現(xiàn)Web應(yīng)用中存在的常見漏洞用例級(jí)別1測(cè)試條件1、已知Web服務(wù)器域名或IP地址2、Web業(yè)務(wù)運(yùn)行正常

測(cè)試用機(jī)上安裝了AppScan執(zhí)行步驟雙擊運(yùn)行AppScan，選擇file—new新建掃描，選擇掃描模板default彈出掃描配置對(duì)話框，選擇掃描類型，默認(rèn)為WebApplicationScan，點(diǎn)擊next在StartingURL中填入需掃描的目標(biāo)服務(wù)器域名或IP地址，其他配置不需修改，點(diǎn)擊next選擇NoLogin，點(diǎn)擊next不需修改任何參數(shù)，點(diǎn)擊next不需修改參數(shù)，選擇Startafullautomaticscan，點(diǎn)擊finish完成配置，開始掃描掃描完成，保存掃描結(jié)果，并對(duì)結(jié)果進(jìn)行分析預(yù)期結(jié)果經(jīng)過對(duì)掃描結(jié)果分析，確認(rèn)不存在“中等等級(jí)”及以上級(jí)別的漏洞。備注注意：該用例的執(zhí)行對(duì)被測(cè)系統(tǒng)的性能影響比較大，而且可能導(dǎo)致一些垃圾數(shù)據(jù)，建議只在測(cè)試環(huán)境執(zhí)行。由于自動(dòng)化工具在很多情況下只是提示一種漏洞存在的可能，因此需要對(duì)所有的結(jié)果進(jìn)行人工的分析判斷。分析過程參考以下章節(jié)的測(cè)試項(xiàng)，使用輔助工具或者是手動(dòng)驗(yàn)證。業(yè)界常用的自動(dòng)化掃描工具還有WebInspcet，NStalker，AcunetixWebVulnerabilityScanner。在有條件的情況下，可以綜合使用。測(cè)試結(jié)果AppScanWebService掃描測(cè)試編號(hào)測(cè)試用例名稱AppScanWebService掃描測(cè)試測(cè)試目的利用自動(dòng)化的Web安全掃描工具AppScan進(jìn)行掃描，以發(fā)現(xiàn)WebService中存在的漏洞用例級(jí)別1測(cè)試條件已知Web服務(wù)器域名或IP地址Web業(yè)務(wù)運(yùn)行正常目標(biāo)系統(tǒng)使用了WebService服務(wù)測(cè)試用機(jī)上安裝了AppScan執(zhí)行步驟雙擊運(yùn)行AppScan，選擇file—new新建掃描，選擇掃描模板default彈出掃描配置對(duì)話框，選擇掃描類型，默認(rèn)為WebServiceScan，點(diǎn)擊next在StartingURL中填入需掃描的目標(biāo)服務(wù)器域名或IP地址，其他配置不需修改，點(diǎn)擊next不需修改任何參數(shù)，點(diǎn)擊next不需修改任何參數(shù)，點(diǎn)擊Finish完成配置，開始掃描掃描完成，保存掃描結(jié)果，并對(duì)結(jié)果進(jìn)行分析預(yù)期結(jié)果經(jīng)過分析確認(rèn)以后的掃描結(jié)果中不存在信息提示以上等級(jí)的漏洞。備注注意：該用例的執(zhí)行對(duì)被測(cè)系統(tǒng)的性能影響比較大，而且可能導(dǎo)致一些垃圾數(shù)據(jù)，建議只在測(cè)試環(huán)境執(zhí)行。由于自動(dòng)化工具在很多情況下只是提示一種漏洞存在的可能，因此需要

測(cè)試結(jié)果2.4服務(wù)器信息收集2.4.1運(yùn)行帳號(hào)權(quán)限測(cè)試編號(hào)測(cè)試用例名稱運(yùn)行帳號(hào)權(quán)限測(cè)試測(cè)試目的運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)權(quán)限越高，那么Web遭到攻擊產(chǎn)生的危害就越大。因此，不應(yīng)使用“root”、“administrator”、等特權(quán)帳號(hào)或高級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)來運(yùn)行Web，應(yīng)該盡可能地使用低級(jí)別權(quán)限的操作系統(tǒng)帳號(hào)。用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站IP地址和OS登陸帳號(hào)、密碼執(zhí)行步驟登陸Web服務(wù)器操作系統(tǒng)查看運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)，不是“root”、“administrator”等特權(quán)帳號(hào)或高級(jí)別權(quán)限帳號(hào)，如果是則存在漏洞。window：打開任務(wù)管理器，選擇“進(jìn)程”頁，勾選左下方的“顯示所有用戶的進(jìn)程”，檢查運(yùn)行Web服務(wù)器的帳號(hào)；□unix：使用“ps–ef|grepjava”命令，返回結(jié)果第一列的操作系統(tǒng)用戶就是運(yùn)行Web服務(wù)器的帳號(hào)；預(yù)期結(jié)果沒有使用“root”、“administrator”等特權(quán)操作系統(tǒng)帳號(hào)運(yùn)行Web。備注測(cè)試結(jié)果2.4.2Web服務(wù)器端口掃描編號(hào)測(cè)試用例名稱Web服務(wù)器端口掃描測(cè)試目的有時(shí)Web應(yīng)用服務(wù)器除業(yè)務(wù)端口外還會(huì)開放一些默認(rèn)端口（如Jboss開放的8083），這些默認(rèn)端口對(duì)最終用戶是不需要開放的，而且也不會(huì)用于維護(hù)，容易被攻擊，本測(cè)試目的在于發(fā)現(xiàn)服務(wù)器上未使用的Web端口。用例級(jí)別1測(cè)試條件已知Web服務(wù)器域名或IP地址，假設(shè)IP地址為測(cè)試用機(jī)安裝了nmap，假設(shè)路徑為d:□map執(zhí)行步驟打開命令提示符，切換到nmap路徑下,輸入cd/dd:□map運(yùn)行nmap–n–P0–sS–sV–p1-65535–oXscan_report.xml使用瀏覽器打開scan_report.xml觀察結(jié)果，看是否為必須開放的Web服務(wù)端口。預(yù)期結(jié)果系統(tǒng)未開放業(yè)務(wù)不需要使用的端口。備注各種參數(shù)掃描請(qǐng)參考《利用nmap進(jìn)行端口掃描》測(cè)試結(jié)果2.4.3HTTP方法測(cè)試

開放HTTP方法測(cè)試測(cè)試目的有些Web服務(wù)器默認(rèn)情況下開放了一些不必要的HTTP方法（如DELET、EPUT、TRAC、EMOVE、COPY），這樣就增加了受攻擊面。用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站IP地址及Web訪問端口2、Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”－“運(yùn)行”，輸入cmd并回車，運(yùn)行cmd.exe輸入telnet 端口（其中IP和端口按實(shí)際情況填寫，用空格隔開）回車在新行中輸入如下一行，并回車OPTIONS/HTTP/1.1觀察返回結(jié)果中的Allow的方法列表返回結(jié)果樣例：HTTP/1.1200OKServer:Apache-Coyote/1.1X-Powered-By:Servlet2.4;JBoss-4.0.5.GA（build:CVSTag=Branch_4_0date=200610162339）/Tomcat-5.5Allow:GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONSContent-Length:0Date:Mon,29Jun200908:02:47GMTConnection:close如果返回結(jié)果中包含不安全的HTTP方法（DELET、EPUT、TRAC、EMOVE、COPY），則驗(yàn)證這些防范是否可用（參考3.2.4/3.2.5/3.2.6/3.2.7/3.2.8）6、如果方法可用則說明存在漏洞，測(cè)試不通過。預(yù)期結(jié)果不包含不安全的HTTP方法（如DELET、EPUT、TRAC、EMOVE、COPY）備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/1.0，那么步驟4返回“HTTP/1.0400BadReques”t；這種情況下，應(yīng)該更改步驟4的輸入行為OPTIONS/HTTP/1.0測(cè)試結(jié)果2.4.4HTTPPUT方法測(cè)試編號(hào)測(cè)試用例名稱HTTPPUT方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了PUT方法，攻擊者能夠通過該方法上傳任意文件到Web服務(wù)器的一些目錄中去。包括Web木馬程序。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行測(cè)試用機(jī)安裝了IISPUTScanne測(cè)r試工具執(zhí)行步驟運(yùn)行IISPUTScanner.exe在StartIP和EndIP輸入框中輸入Web服務(wù)器的IP地址，在Port輸入框中輸入對(duì)應(yīng)的端口，選中“Trytouploadfile”和“Tryonothersystems”，如圖：

VBl∣5PUTScanervl-3—CodedKyhell. □叵區(qū)-帛eκing^StarHP:∣127qo?1 EndIPl127?°0?1 T3d:/°Γ∣mecσ5p□t?H」 ∣√IrFEUPloddlilB∣√∏rjponotherspstem??ScanUUHoSl IFLIT IHTTFbrnncr ∣Llp∑hlcFilu?r127.LI.Q1:B0 'YES Δpachθ-CD∣l∣αtβJl.1 unsupp□ιt點(diǎn)擊Scan按鈕、觀察掃描結(jié)果預(yù)期結(jié)果工具的“PUT”欄的值不為“YES”，Web服務(wù)器上沒有新創(chuàng)建的alert.txt文件（/alert.txt請(qǐng)求不到文件）備注本測(cè)試適用于所有的Web服務(wù)器，不僅僅是IIS。測(cè)試結(jié)果2.4.5HTTPDELETE方法測(cè)試編號(hào)測(cè)試用例名稱HTTPDELET方E法測(cè)試測(cè)試目的有些Web服務(wù)器開放了DELETE方法，攻擊者能夠通過該方法刪除Web服務(wù)器上的文件。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行Web網(wǎng)站存在/alert.txt文件（如果沒有，手工創(chuàng)建）執(zhí)行步驟點(diǎn)擊“開始”－“運(yùn)行”，輸入cmd并回車，運(yùn)行cmd.exe輸入telnet 端口（其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet80）回車在新行中輸入如下一行，并回車DELETE/alert.txtHTTP/1.0查看Web服務(wù)器上alert.txt是否被刪除預(yù)期結(jié)果Web服務(wù)器上alert.txt文件依然存在備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/1.0，那么步驟4返回“HTTP/1.0400BadReques”t；這種情況下，應(yīng)該更改步驟4的輸入行為DELETE/index.jspHTTP/1.0測(cè)試結(jié)果2.4.6HTTPTRACE方法測(cè)試編號(hào)測(cè)試用例名稱HTTPTRAC方E法測(cè)試測(cè)試目的有些Web服務(wù)器開放了TRACE方法（主要是用于客戶端通過向Web服務(wù)器提交TRACE請(qǐng)求來進(jìn)行測(cè)試或獲得診斷信息），攻擊者能夠通過該方法構(gòu)造跨站攻擊。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟1、點(diǎn)擊“開始”－“運(yùn)行”，輸入cmd并回車，運(yùn)行cmd.exe

輸入telnet 端口（其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet80）回車在新行中輸入如下一行，并回車TRACE/HTTP/1.0觀察返回結(jié)果預(yù)期結(jié)果Web服務(wù)器的返回信息提示Trace方法“notallowed”備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/1.0，那么步驟4返回“HTTP/1.0400BadReques”t；這種情況下，應(yīng)該更改步驟4的輸入行為TRACE/HTTP/1.0測(cè)試結(jié)果2.4.7HTTPMOVE方法測(cè)試編號(hào)測(cè)試用例名稱HTTPMOVE方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了MOVE方法，用于請(qǐng)求服務(wù)器將指定的頁面移到另一個(gè)網(wǎng)絡(luò)地址，該方法不安全，容易被利用。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”－“運(yùn)行”，輸入cmd并回車，運(yùn)行cmd.exe輸入telnetIP端口（其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet80）回車在新行中輸入如下一行，并回車MOVE/test/a.html/a.htmlHTTP/1.0觀察返回結(jié)果預(yù)期結(jié)果Web服務(wù)器的返回信息提示MOVE方法“notsupported”備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/1.0，那么步驟4返回“HTTP/1.0400BadReques”t；這種情況下，應(yīng)該更改步驟4的輸入行為MOVE/test/a.html/a.htmlHTTP/1.1測(cè)試結(jié)果2.4.8HTTPCOPY方法測(cè)試編號(hào)測(cè)試用例名稱HTTPCOPY方法測(cè)試測(cè)試目的有些Web服務(wù)器開放了COPY方法，用于請(qǐng)求服務(wù)器將指定的頁面拷貝到另一個(gè)網(wǎng)絡(luò)地址，該方法不安全，容易被利用。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站IP地址Web業(yè)務(wù)正常運(yùn)行執(zhí)行步驟點(diǎn)擊“開始”－“運(yùn)行”，輸入cmd并回車，運(yùn)行cmd.exe輸入telnetIP端口（其中IP和端口按實(shí)際情況填寫，用空格隔開，比如：telnet80）回車

在新行中輸入如下一行，并回車COPY/test/a.html/a.htmlHTTP/1.05、觀察返回結(jié)果預(yù)期結(jié)果Web服務(wù)器的返回信息提示COPY方法“notsupported”備注由于不同的Web服務(wù)器支持的HTTP協(xié)議版本不同，如果系統(tǒng)不支持HTTP/1.0，那么步驟4返回“HTTP/1.0400BadReques”t；這種情況下，應(yīng)該更改步驟4的輸入行為COPY/test/a.html/a.htmlHTTP/1.1測(cè)試結(jié)果2.4.9Web服務(wù)器版本信息收集編號(hào)測(cè)試用例名稱Web服務(wù)器版本信息收集測(cè)試目的一些情況下，Web服務(wù)器能通過隱藏或者修改banner信息的方式防止黑客攻擊。這時(shí)候我們需要使用不依靠服務(wù)器Server標(biāo)題頭的掃描方式進(jìn)行服務(wù)器類型、版本判斷。用例級(jí)別4測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知Web服務(wù)器域名或IP地址測(cè)試用機(jī)安裝了httprint（Windows環(huán)境）執(zhí)行步驟運(yùn)行Httprint_gui.exe在Host列中輸入主機(jī)域名（如果沒有域名則輸入IP地址），在端口列中輸入端口號(hào)。如果為HTTPS則要選擇鎖圖標(biāo)下面的選擇框。Hhttprifitvpγ!tiotO.3IH卜AISTjSJAaLirUX(B.l72,mBnnUInSIt□2'autW屆LJad : 卜PaEp；q 夕gd]t]mtt1'ιτKBT*lΠ□α5'T√T?<t∣??1R1TEI∞IT2?ttpri3俘J :N弘I I I.Bk*mγR?port?<l [方 l?j?cH [Conf,]IBLIBLtpmrtFiLt .L^k!0CURI'"l?>42BT3MJD□ll^l,σvφ?RwrSEX∞.172?UrrL3WY二…ILd-LJ —-^'-I??“？3、點(diǎn)擊程序下方的運(yùn)行按鈕

2.5文件、目錄測(cè)試2.5.1工具方式的敏感接口遍歷編號(hào)測(cè)試用例名稱工具方式的敏感接口遍歷測(cè)試目的網(wǎng)站目錄查找是進(jìn)行攻擊的必備知識(shí)，只有知道了目錄信息才能確定攻擊的目標(biāo)，進(jìn)行目錄查找是測(cè)試的首要階段，一般掃描工具進(jìn)行掃描前首先要進(jìn)行目錄查找。其次對(duì)于某些隱藏的管理接口（目錄或文件），雖然沒有對(duì)外有明顯的鏈接，但是通過一系列有特定含義的枚舉是可以訪問的。用例級(jí)別2測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址測(cè)試用機(jī)上需安裝JRE測(cè)試用機(jī)上有DirBuster軟件執(zhí)行步驟雙擊運(yùn)行DirBuster.jar在host欄中填入目標(biāo)IP地址或域名，在Port欄中輸入服務(wù)器對(duì)應(yīng)的端口；如果服務(wù)器只接受HTTPS請(qǐng)求，則需要選擇Protocol為HTTPS

/admin/adduser.jsp200Robots方式的敏感接口查找編號(hào)測(cè)試用例名稱Robots方式的敏感接口查找測(cè)試目的為了防止搜索引擎的爬蟲訪問敏感的目錄接口，服務(wù)器上可能會(huì)編輯一個(gè)robots.txt文件，內(nèi)容為需要保護(hù)的文件或目錄名稱。直接訪問robots.txt文件能夠獲取一些可能的敏感接口用例級(jí)別2測(cè)試條件1、Web業(yè)務(wù)運(yùn)行正常2、已知待測(cè)目標(biāo)URL，假設(shè)為執(zhí)行步驟1、嘗試訪問/robots.txt例如可能返回如下結(jié)果：∣∣∣∣空件口Sisfl(EJ?s若如?*?JIηφ幫焦叩 『0后止?。必圖心戶**翁時(shí)儂e勢(shì)tm"地址Sj∣?]lι?l*∕>m1呢Ll√ιr?a{y.匕h YI目衿至IL.∣'∣'VAW.1.XUl-lI-ILaLJUL.LAL鼻T L—LJI*FDrEjmtaxchecki∏EuEE:#http;//vww.mW?,co.'e.ι?k∕cαEt5Gtit?∕rcfccts∕?Lιcck.LιtmlU≡Er-ag,mtE率C?iwl-delay:11)#DirectDrieBDlSallW二∕data?ase∕Disallew!/includes/Disallcw:∕i1bc∕Disallow:∕xodules∕rΓlisallDwzJEilE"Di≡all□w:∕th≡BB≡∕DiEallcwv:/scripts/Disallcw:∕tφdates∕Disallow;/profiles/#FilesDisallw；∕xxlrpc.phpDieallcwt/cron.p抽Disallow;/update,phpDisallow:/Install.r>hpDi≡allnv:"WSTAiLtXtDisallcw:/INSTALL.uyεql.τrtDiSQIIW:∕D)SΓALL.pgsql.txtEilsallcw:∕CHA)KHjM.tκtm≡≡ιinv:/Iaiwtaiweks.t≈tDiEallcw:/LICENSE：,tstDisallDWZ/UPCRkDLtKt#Faths(cleanUKLb)Di≡al1□wlJmdiunFDiEallcw:/ag.grrg.ator/DiEallE:∕cDnπmt/reply/ΓlisallDwz/contact/Di≡all□<v:/logout/Disallow：/node/add/Dieallcw:∕εearch∕<LI 2、觀察返回結(jié)果預(yù)期結(jié)果通過robots.txt文件不能獲取敏感的目錄或文件信息。備注敏感目錄舉例：/employee/salary_files/敏感文件舉例：/sys_manager/setup.jsp測(cè)試結(jié)果Web服務(wù)器的控制臺(tái)編號(hào)測(cè)試用例名稱Web服務(wù)器的控制臺(tái)

檢查是否部署了Web服務(wù)器的控制臺(tái)，控制臺(tái)是否存在默認(rèn)帳號(hào)、口令，是否存在弱口令。用例級(jí)別1測(cè)試條件1、Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址已知Web服務(wù)器版本信息執(zhí)行步驟根據(jù)Web服務(wù)器的版本信息，通過google查詢其對(duì)應(yīng)的控制臺(tái)URL地址和默認(rèn)的帳號(hào)、口令。以下列出一些常見的Web服務(wù)器控制臺(tái)URL地址和默認(rèn)帳號(hào)、口令：Tomcat控制臺(tái)URL：/manager/htmlTomcat控制臺(tái)默認(rèn)帳號(hào)admin，默認(rèn)密碼admin或空J(rèn)boss控制臺(tái)URL：/jmx-console/Jboss控制臺(tái)URL：/web-console/Jboss控制臺(tái)默認(rèn)無須登陸，或者admin/adminWebSphere控制臺(tái)URL：/ibm/console/logon.jspWebSphere默認(rèn)帳號(hào)admin，默認(rèn)密碼adminApache控制臺(tái)URL：/server-statusAxis2控制臺(tái)URL：/axis2-admin/Axis2控制臺(tái)默認(rèn)口令帳戶：admin/axis2iSAP控制臺(tái)URL：/admin/login.jspiSAP控制臺(tái)默認(rèn)的帳號(hào)和密碼：admin/admin“普元”管理控制臺(tái)URL：/eosmgr/“普元”管理控制臺(tái)默認(rèn)的帳號(hào)和密碼：sysadmin/000000在瀏覽器地址欄中輸入Web服務(wù)器對(duì)應(yīng)的URL。由于不同的應(yīng)用可能目錄有所差異，如果訪問不到，可以登陸后臺(tái)服務(wù)器以find命令查找，比如find/-name“*console*”，find/-name“*admin*”，看看實(shí)際的URL應(yīng)該是什么，再次嘗試。檢查是否存在Web服務(wù)器控制臺(tái)如果存在控制臺(tái)，使用默認(rèn)帳號(hào)、口令登錄，弱口令登錄，查看是否登錄成功，如果可以則存在漏洞。預(yù)期結(jié)果不存在Web服務(wù)器控制臺(tái)，或者存在控制臺(tái)但有強(qiáng)口令。備注弱口令例子：123、123456、abc、huawei、admin、tellin、isap、scp等；另外，和用戶名相同或非常接近的口令也屬于弱口令，比如用戶名為tomcat，口令為tomcat1。測(cè)試結(jié)果2.5.4 目錄列表測(cè)試編號(hào)測(cè)試用例名稱目錄列表測(cè)試測(cè)試目的目錄列表能夠造成信息泄漏，而且對(duì)于攻擊者而言是非常容易進(jìn)行的。所以在測(cè)試過程中，我們應(yīng)當(dāng)找出所有的目錄列表漏洞。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知目標(biāo)網(wǎng)站的域名或IP地址

測(cè)試用機(jī)上需安裝JRE4、測(cè)試用機(jī)上有DirBuster軟件執(zhí)行步驟雙擊運(yùn)行DirBuster-0.9.8.jar在host欄中填入目標(biāo)IP地址或域名，在Port欄中輸入服務(wù)器對(duì)應(yīng)的端口；如果服務(wù)器只接受HTTPS請(qǐng)求，則需要選擇Protocol為HTTPSFileQRtiMSAbnulHehDirBiisterWebAMrflCatialDirectoryandFileBιι4eForce<Pratocol Hcst PortIhW 卜J H￡ ∣ IB口 I?ListbasedbruteforteFiiewmiIistoriiirsmiJBrowseI Usilnfo∣C1PureBruteForceChar≡el ∣ ∣Uinlength ∣ ∣ MayLength- ∣WorkWelhDd OGETonly ?'Auto5?ιrfchμEA□andGE-Q0BeRecur^rve NumberOfThreads。 ∣ 1QThrescis OGaFs&ter回BruteForcβDirs DlrtostaftWm ∣畫日ruteFarceFiles □UseQlaπk:EsierillonFilem??HtιaπIMlJ ∣曰山 StartPlOaSUQQinpIetethetestfctdils在filewithlistofdirs/files欄后點(diǎn)擊browse，選擇破解的字典庫(kù)為directory-list-2.3-small.txt：去除BurteForceFiles選項(xiàng)其他選項(xiàng)不變，點(diǎn)擊右下角的start，啟動(dòng)目錄查找FileOptions?)outHelpMBustwWebA即KiMIoaMocfo<y"MiFileBm#oFoicwhttp』*BeZQriB:8WTypeI FClUrI(I ResponseInclude SlalusDlr 恤配 403 I回VeilingDlr [ □oa舊 Srarlrllng Z：ir IYilBs/ 403 H lA?rtinqDlr ftnigb^ ￡03同ailing Dir AhBrnssJ 403 E A?rtinqDlr ∣?mndulE5J ￡03AImrting Dir 化口Llnterf 生3 E A?rtingDlr ι?mp? 4C□ g l??rtinq二:iι ι?hE 4Q3 E lA?rtingDlr ι^■:口LlnfeM 4C□ g l??rtinqDir -HbU 403 坦 WailingDlr Ilndudesr 4∣]3 H Wsrtlng二iι ∣fprυfi∣ES√ 4口3 回 l??iiingCurrent5peed:68rsquestsfEBD f??或口向ι??tdi喇?∣rGmgcw?iA?,eragBεpeed:EBil(C)τ□requestsrsstFar=QUgUeBizo:O CUrrenInUEberOfrUnning!breads:1DTotalRequests:02Q∣1139466 ∣ chm3eTimeTaFinish:Od31D4B?ck PMJve Mnp ReportDaBustofSlopped依次右擊Response值為200的行，在出現(xiàn)的菜單中點(diǎn)擊OpenInBrowser

File口前MgWaautHelpDfcBiista-WebA，巾KedIliOuMeclofy/BFileSHMeForcerhUpJsBGE0ΠBl8Q/Type FaUIIil Respcme MHUcie 5latu?Dir nniqj W* I匹WaninjjDir f genIrl?w∕w 迎^ 吧 SrWnnimJDlf fflleS/ HewRcspanxe 4(J3 Q V??H∣?0Dir ftnisc/ C(IlJyJRL 403 A?rt?ιq □lr ft?E∏ιEEJ 403 回 ??fling二iι IirTl□du∣E5,∣ °hl dC□ 回 Λ?iiinq Dlr ι?口LIn?M E>?ioscatk 也^ 回 ???tlingJir fsGripls> 403畫 V%?rliπg(shù)Dlr fphμj 4∣J2 回 M?rtlngDir 化口LlnlBrf 理3 E A?IiingDlr UsJ — g l??rtinq"i∣ 仙曰Uei白丁 403 四 VJaiIlng匚" ∣-ιrιlE≤J ∣4C□ g ??rtinqCurrents口FFEr日日requesβfEBC ts??otam1rτsffrre∣<?由「*皿CfJt?eq?,bγ?30epood:(1)61.CQ了口requesbsfsstParseQueueSm:O Currentnumberofruππιngthreads:10TotalRequests：S2DJ1139465 ∣ l-?ιgeTimeταFinish:□4ai:□aB?CM PauW Mop ∣?portD?Bustθ∣Slopped7分析結(jié)果預(yù)期結(jié)果所有對(duì)目錄的訪問均不能打印出文件列表。備注測(cè)試結(jié)果文件歸檔測(cè)試編號(hào)測(cè)試用例名稱文件歸檔測(cè)試測(cè)試目的在網(wǎng)站管理員的維護(hù)過程中，很多情況下會(huì)對(duì)程序或者頁面進(jìn)行備份（可能是有意的或者是無意的，如ultraedit在修改后會(huì)生成文件名加bak后綴的文件）。攻擊者通過直接訪問這些備份的路徑可以下載文件用例級(jí)別1測(cè)試條件擁有運(yùn)行Web服務(wù)器的操作系統(tǒng)帳號(hào)和口令Web業(yè)務(wù)運(yùn)行正常執(zhí)行步驟登陸后臺(tái)Web服務(wù)器的操作系統(tǒng)以cd命令進(jìn)入可以通過Web方式訪問的目錄（比如tomcat服務(wù)器的$home/webapps目錄，jboss服務(wù)器的$home/jboss/server/default/deploy目錄）用find命令，查找是否存在以下備份文件，如果存在則測(cè)試不通過。

可以通過Web方式訪問的目錄，不存在開發(fā)過程（包括現(xiàn)場(chǎng)定制）中的產(chǎn)生的臨時(shí)文件、備份文件等。備注測(cè)試結(jié)果2.6認(rèn)證測(cè)試暴力破解是目前最直接有效的攻擊方式，特別對(duì)于電信業(yè)務(wù)來說，很多情況下口令都為6位純數(shù)字，很容易被攻擊。本測(cè)試項(xiàng)在于檢查認(rèn)證系統(tǒng)對(duì)暴力破解的防護(hù)性。在以下的一些測(cè)試中，圍繞能否滿足暴力破解進(jìn)行的設(shè)計(jì)，未設(shè)計(jì)直接進(jìn)行暴力破解的攻擊用例。如果需要，測(cè)試人員可以使用hydra和AppScan中集成的AuthenticationTester工具進(jìn)行。2.6.1驗(yàn)證碼測(cè)試編號(hào)測(cè)試用例名稱驗(yàn)證碼測(cè)試測(cè)試目的查看是否有驗(yàn)證碼機(jī)制，以及驗(yàn)證碼機(jī)制是否完善用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常存在登陸頁面執(zhí)行步驟登陸頁面是否存在驗(yàn)證碼，不存在說明存在漏洞，完成測(cè)試驗(yàn)證碼和用戶名、密碼是否一次性、同時(shí)提交給服務(wù)器驗(yàn)證，如果是分開提交、分開驗(yàn)證，則存在漏洞在服務(wù)器端，是否只有在驗(yàn)證碼檢驗(yàn)通過后才進(jìn)行用戶名和密碼的檢驗(yàn)，如果不是說明存在漏洞。（檢測(cè)方法：輸入錯(cuò)誤的用戶名或密碼、錯(cuò)誤的驗(yàn)證碼。觀察返回信息，是否只提示驗(yàn)證碼錯(cuò)誤，也就是說當(dāng)驗(yàn)證碼錯(cuò)誤時(shí)，禁止再判斷用戶名和密碼。）驗(yàn)證碼是否為圖片形式且在一張圖片中，不為圖片形式或不在一張圖片中，說明存在漏洞，完成測(cè)試生成的驗(yàn)證碼是否可以通過html源代碼查看到，如果可以說明存在漏洞，完成測(cè)試生成驗(yàn)證碼的模塊是否根據(jù)提供的參數(shù)生成驗(yàn)證碼，如果是說明存在漏洞，完成測(cè)試請(qǐng)求10次觀察驗(yàn)證碼是否隨機(jī)生成，如果存在一定的規(guī)律（例如5次后出現(xiàn)同一驗(yàn)證碼）說明存在漏洞，完成測(cè)試觀察驗(yàn)證碼圖片中背景是否存在無規(guī)律的點(diǎn)或線條，如果背景為純色（例如只有白色）說明存在漏洞，完成測(cè)試驗(yàn)證碼在認(rèn)證一次后是否立即失效：

開啟WebScarab，配置對(duì)GET和POST請(qǐng)求進(jìn)行攔截；并在瀏覽器中配置代理服務(wù)器IP為，端口為8008填入錯(cuò)誤的用戶名和口令，填入正確的驗(yàn)證碼，提交表單從WebScarab攔截?cái)?shù)據(jù)中復(fù)制對(duì)應(yīng)登陸請(qǐng)求的POST或GET消息（文本格式），將其中的口令更改一個(gè)字符在命令行中輸入telnet＜服務(wù)器域名或IP＞＜端口＞，回車將修改的內(nèi)容粘貼到命令行窗口中，回車判斷返回的頁面中是否包含“驗(yàn)證碼錯(cuò)誤”（或類似）的提示，如果沒有，說明存在漏洞，完成測(cè)試預(yù)期結(jié)果不存在上述漏洞備注本用例根據(jù)最嚴(yán)格的方式對(duì)目標(biāo)進(jìn)行測(cè)試，如果產(chǎn)品線對(duì)安全的要求不高且有自身的安全策略規(guī)定時(shí)，可以視情況對(duì)測(cè)試項(xiàng)進(jìn)行部分測(cè)試測(cè)試結(jié)果2.6.2認(rèn)證錯(cuò)誤提示編號(hào)測(cè)試用例名稱認(rèn)證錯(cuò)誤提示測(cè)試目的為了進(jìn)行暴力破解，攻擊者需要知道已存在的用戶名，再對(duì)該用戶名進(jìn)行攻擊。所以，本測(cè)試用于確認(rèn)目標(biāo)服務(wù)器在處理登陸操作時(shí)會(huì)提示出具體的信息。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常存在登陸頁面執(zhí)行步驟在用戶名（或其他身份標(biāo)志）的輸入框中輸入noexists，口令任意若服務(wù)器返回提示類似于“用戶名不存在”，則說明存在漏洞，完成測(cè)試使用正確的用戶名（或同功能的身份標(biāo)志），在口令框中輸入noexists若服務(wù)器提示類似于“密碼/口令錯(cuò)誤”“用戶名不存在”之類的信息，則說明存在漏洞，完成測(cè)試。預(yù)期結(jié)果服務(wù)器不會(huì)針對(duì)認(rèn)證錯(cuò)誤的情況提示準(zhǔn)確的信息。備注測(cè)試結(jié)果2.6.3鎖定策略測(cè)試編號(hào)測(cè)試用例名稱鎖定策略測(cè)試測(cè)試目的在缺少鎖定策略和驗(yàn)證碼設(shè)計(jì)有問題的情況下，攻擊者可以通過枚舉的方式來進(jìn)行暴力猜解。本測(cè)試用于發(fā)現(xiàn)目標(biāo)系統(tǒng)是否缺少鎖定策略。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常存在登陸頁面

1、打開登陸頁面在用戶名（或同功能的身份標(biāo)志）輸入框中輸入正確的用戶名在口令（或同功能的口令標(biāo)志）輸入框中輸入錯(cuò)誤的口令在驗(yàn)證碼輸入框（如果有的話）中輸入正確的驗(yàn)證碼提交表單重復(fù)1～5步驟10次判斷目標(biāo)系統(tǒng)返回的信息預(yù)期結(jié)果目標(biāo)系統(tǒng)提示“帳號(hào)已鎖定”或者“IP已鎖定”或者類似“鎖定”等之類的信息。備注第6步中重復(fù)步驟次數(shù)視各產(chǎn)品實(shí)際情況而定。另外，如果系統(tǒng)存在一些認(rèn)證接口（帶認(rèn)證參數(shù)的URL，不是普通登陸頁面），那么也需要對(duì)認(rèn)證接口進(jìn)行失敗認(rèn)證嘗試，以測(cè)試其鎖定策略。測(cè)試結(jié)果2.6.4認(rèn)證繞過測(cè)試編號(hào)測(cè)試用例名稱認(rèn)證繞過測(cè)試測(cè)試目的發(fā)現(xiàn)目標(biāo)認(rèn)證系統(tǒng)是否存在繞過的可能用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常存在登陸頁面執(zhí)行步驟打開登陸頁面在用戶名（或同功能的身份標(biāo)志）輸入框中輸入admin’or‘1’=’1在口令（或同功能的口令標(biāo)志）輸入框中輸入admin’or‘1’=’1提交表單，觀察返回結(jié)果預(yù)期結(jié)果不能夠成功登陸。備注如果目標(biāo)系統(tǒng)采用javascript限制了輸入格式，可以通過WebScarab來進(jìn)行修改。關(guān)于WebScarab的使用說明，請(qǐng)參看相關(guān)幫助文檔。測(cè)試結(jié)果2.6.5找回密碼測(cè)試編號(hào)測(cè)試用例名稱找回密碼測(cè)試測(cè)試目的網(wǎng)站在密碼重設(shè)和密碼找回功能上如果存在著缺陷，攻擊者可以通過此功能找到指定用戶的密碼，更改指定用戶的密碼讓其不能登陸，造成業(yè)務(wù)數(shù)據(jù)修改等。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行網(wǎng)站提供密碼重設(shè)或密碼找回的功能已知某正確的用戶賬號(hào)執(zhí)行步驟打開密碼找回功能的頁面如果沒有對(duì)用戶的合法身份進(jìn)行任何驗(yàn)證就發(fā)送密碼，則說明存在漏洞。

系統(tǒng)正常需要用戶輸入一些能夠證明其合法身份的信息（比如回答一些原來注冊(cè)用戶時(shí)填寫的一些信息，比如小學(xué)教師姓名等），如果是回答問題的方式，則判斷問題是否類似于“我的生日”或“我的姓氏”這種答案限定范圍非常小的問題。如果是說明存在漏洞，完成測(cè)試，否則進(jìn)行下一步。如果為輸入密碼的方式，則查看該頁的html源代碼在html源代碼中查看是否存在著可能為密碼的數(shù)據(jù)，如果是，說明存在漏洞用戶的密碼一般通過用戶郵箱或者手機(jī)短信的方式來通知用戶，如果在返回的Web頁面直接顯示明文口令，則說明存在漏洞。預(yù)期結(jié)果密碼找回不存在漏洞備注測(cè)試結(jié)果2.6.6修改密碼測(cè)試編號(hào)測(cè)試用例名稱修改密碼測(cè)試測(cè)試目的如果修改密碼功能存在著缺陷，攻擊者可以通過此其缺陷修改其他用戶的密碼。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行網(wǎng)站提供修改密碼的功能已知某正確的用戶賬號(hào)執(zhí)行步驟登陸網(wǎng)站進(jìn)入密碼修改頁面查看是否必須提交正確舊密碼，如果不需要?jiǎng)t存在漏洞填寫并提交修改密碼數(shù)據(jù)，并以WebScarab攔截修改密碼請(qǐng)求，觀察新舊密碼是否通過同一個(gè)HTTP請(qǐng)求提交到服務(wù)器，如果不是則存在漏洞；觀察是否客戶端是否提交用戶名或用戶ID，如果是則修改為其他用戶名或用戶ID，看看是否能夠成功修改其他用戶的密碼，如果可以則存在漏洞。預(yù)期結(jié)果用戶修改密碼時(shí)必須提供舊密碼，普通用戶無法修改其他用戶的密碼。備注如果初始口令為系統(tǒng)提供的默認(rèn)口令、或者是由管理員設(shè)定時(shí)，則在用戶/操作員使用初始口令成功登錄后，系統(tǒng)必須強(qiáng)制用戶/操作員更改初始口令，直至更改成功，否則是漏洞。測(cè)試結(jié)果2.6.7不安全的數(shù)據(jù)傳輸編號(hào)測(cè)試用例名稱登陸過程信息機(jī)密性保護(hù)測(cè)試目的測(cè)試Web程序在處理登錄過程中用戶名和口令的傳輸是否采用了加密傳輸?shù)臋C(jī)制。用例級(jí)別1

1、已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行Web業(yè)務(wù)存在登陸認(rèn)證模塊執(zhí)行步驟已知網(wǎng)站登錄地址為：/login.xxx開啟WebScarab，配置對(duì)GET和POST請(qǐng)求進(jìn)行攔截；在瀏覽器中配置代理服務(wù)器IP為，端口為8008在登錄處輸入用戶名和口令、驗(yàn)證碼登陸查看WebScarab攔截的請(qǐng)求中，用戶名和口令是否采用HTTPS協(xié)議傳輸。預(yù)期結(jié)果用戶名和密碼信息采用HTTPS傳輸。備注參考Web應(yīng)用安全開發(fā)規(guī)范章節(jié)3.5.3敏感數(shù)據(jù)傳輸測(cè)試結(jié)果編號(hào)SEC_Web_AUTHEN_09測(cè)試用例名稱修改密碼信息機(jī)密性保護(hù)測(cè)試目的測(cè)試Web程序在修改密碼過程中用戶名和口令的傳輸是否采用了加密傳輸?shù)臋C(jī)制。用例級(jí)別2測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行Web業(yè)務(wù)存在修改密碼的功能執(zhí)行步驟登陸Web網(wǎng)站找到修改密碼的頁面輸入舊密碼和新密碼并提交并觀察數(shù)據(jù)傳輸是否采用HTTPS方式預(yù)期結(jié)果用戶名和密碼信息采用HTTPS傳輸。備注創(chuàng)建用戶時(shí)如果包含密碼也應(yīng)該HTTPS傳輸。參考Web應(yīng)用安全開發(fā)規(guī)范章節(jié)3.5.3敏感數(shù)據(jù)傳輸測(cè)試結(jié)果2.6.8強(qiáng)口令策略測(cè)試編號(hào)測(cè)試用例名稱強(qiáng)口令策略測(cè)試測(cè)試目的本測(cè)試為檢查目標(biāo)系統(tǒng)是否存在強(qiáng)口令策略。用例級(jí)別2測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在帳號(hào)管理已知正常用戶的用戶、口令

存在口令修改頁面執(zhí)行步驟使用正確的用戶、口令登陸Web業(yè)務(wù)系統(tǒng)打開口令修改頁面在新口令輸入框中輸入字母加數(shù)字的5位字符（如ab123）作為密碼并提交，如果未提示“口令長(zhǎng)度過短”等諸如此類的信息，說明存在弱點(diǎn)，完成測(cè)試。在新口令輸入框中輸入6位數(shù)字（如123456）作為密碼并提交，如果未提示“口令字符需要大小寫”等諸如此類的信息，說明存在弱點(diǎn)，完成測(cè)試。觀察結(jié)果預(yù)期結(jié)果目標(biāo)系統(tǒng)存在滿足上述步驟的較嚴(yán)格的口令復(fù)雜度策略。備注上面只是舉例說明口令復(fù)雜度的測(cè)試，實(shí)際上強(qiáng)口令策略還包括口令有效期、歷史口令等，這些都要測(cè)試。對(duì)于一些Web應(yīng)用（如移動(dòng)網(wǎng)上客服系統(tǒng)）密碼只能是數(shù)字組成，則不強(qiáng)制要求強(qiáng)口令。應(yīng)用安全開發(fā)規(guī)范中的強(qiáng)口令策略：規(guī)則：口令長(zhǎng)度的取值范圍為：0-32個(gè)字符；口令的最短長(zhǎng)度和最長(zhǎng)長(zhǎng)度可配置；口令的最短長(zhǎng)度建議默認(rèn)為6個(gè)字符。規(guī)則：口令中至少需要包括一個(gè)大寫字母（A-Z）、一個(gè)小寫字母（a-z）、一個(gè)數(shù)字字符（0-9）；口令是否包含特殊字符要求可以配置。規(guī)則：口令中允許同一字符連續(xù)出現(xiàn)的最大次數(shù)可配置，取值范圍：0-9，當(dāng)取值為0時(shí)，表示無限制，建議默認(rèn)為3。規(guī)則：口令須設(shè)置有效期，最短有效期的取值范圍：0-9999分鐘，當(dāng)取值為0時(shí)，表示不做限制，建議默認(rèn)：5分鐘；最長(zhǎng)有效期的取值范圍：0-999天，當(dāng)取值為0時(shí)，表示口令永久有效，建議默認(rèn)：90天。規(guī)則：在口令到期前，當(dāng)用戶登錄時(shí)系統(tǒng)須進(jìn)行提示，提前提示的天數(shù)可配置，取值范圍：1-99天，建議默認(rèn)：7天。規(guī)則：口令到達(dá)最長(zhǎng)有效期后，用戶再次登錄成功但在進(jìn)入系統(tǒng)前，系統(tǒng)強(qiáng)制更改口令，直至更改成功。規(guī)則：口令歷史記錄數(shù)可配置，取值范圍為：0-30；建議默認(rèn)：3個(gè)。規(guī)則：管理員/操作員/最終用戶修改自己的口令時(shí)，必須提供舊口令。規(guī)則：初始口令為系統(tǒng)提供的默認(rèn)口令、或者是由管理員設(shè)定時(shí)，則在用戶/操作員使用初始口令成功登錄后，要強(qiáng)制用戶/操作員更改初始口令，直至更改成功。規(guī)則0：口令不能以明文的形式在界面上顯示。規(guī)則1：口令不能以明文的形式保存，須加密保存；口令與用戶名關(guān)聯(lián)加密，即加密前的數(shù)據(jù)不僅包括口令，還包括用戶名。規(guī)則2：只有當(dāng)用戶通過認(rèn)證之后才可以修改口令。規(guī)則3：修改口令的帳號(hào)只能從服務(wù)器端的會(huì)話信息中獲取，而不能由客戶端指定。建議：實(shí)現(xiàn)弱口令詞典功能。測(cè)試結(jié)果

會(huì)話管理測(cè)試2.7.1身份信息維護(hù)方式測(cè)試編號(hào)SEC_Web_SESSION_01測(cè)試用例名稱身份信息維護(hù)方式測(cè)試測(cè)試目的發(fā)現(xiàn)目標(biāo)系統(tǒng)是否采用參數(shù)來進(jìn)行身份判斷。用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行Web業(yè)務(wù)存在不同級(jí)別的權(quán)限（角色）執(zhí)行步驟登錄系統(tǒng)配置WebScarab進(jìn)行httpget和post請(qǐng)求攔截請(qǐng)求Web頁面在WebScarab中查看請(qǐng)求報(bào)文檢查請(qǐng)求消息中是否攜帶了與用戶身份相關(guān)的數(shù)據(jù)。如果有，修改身份信息。如果服務(wù)器端以修改后的身份進(jìn)行操作，則說明存在漏洞，完成測(cè)試。預(yù)期結(jié)果用戶登陸后，身份信息不再由客戶端提交，而是以服務(wù)器端會(huì)話信息中保存的身份信息為準(zhǔn)。備注測(cè)試結(jié)果2.7.2Cookie 存儲(chǔ)方式測(cè)試編號(hào)SEC_Web_SESSION_02測(cè)試用例名稱Cookie存儲(chǔ)方式測(cè)試測(cè)試目的某些Web應(yīng)用將SesssionId放到了URL中進(jìn)行傳輸，攻擊者能夠誘使被攻擊者訪問特定的資源，例如圖片。在被攻擊者查看資源時(shí)獲取該SessionID（在HTTP協(xié)議中Referer標(biāo)題頭中攜帶了來源地址），從而導(dǎo)致身份盜用。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在登陸認(rèn)證模塊已知正確的用戶名、口令執(zhí)行步驟登錄系統(tǒng)。請(qǐng)求不同的業(yè)務(wù)應(yīng)用觀察URL。預(yù)期結(jié)果URL中沒有攜帶SessionID信息（可能是sid,JSESSIONID等形式）。備注測(cè)試結(jié)果2.7.3用戶注銷登陸的方式測(cè)試編號(hào)SEC_Web_SESSION_03測(cè)試用例名稱用戶注銷登陸的方式測(cè)試測(cè)試目的查看是否提供注銷登陸功能用例級(jí)別1

1、已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在登陸認(rèn)證模塊已知正確的用戶名、口令執(zhí)行步驟使用正常的用戶、口令登錄系統(tǒng)。查找登陸后的所有頁面中是否存在明確的“退出”或“注銷”（或類似）的按鈕或者鏈接預(yù)期結(jié)果登陸后的頁面中有明確的“退出”或“注銷”按鈕。備注測(cè)試結(jié)果2.7.4注銷時(shí)會(huì)話信息是否清除測(cè)試編號(hào)SEC_Web_SESSION_04測(cè)試用例名稱注銷時(shí)（logout），會(huì)話信息是否清除測(cè)試目的由于網(wǎng)站程序在編寫上考慮不周，用戶注銷后會(huì)話信息沒有清除，導(dǎo)致用戶在點(diǎn)擊注銷按鈕之后還能繼續(xù)訪問注銷之前（也就是登陸之后）才能訪問的頁面。我們需要經(jīng)過測(cè)試來判斷是否存在此類問題。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行存在注銷功能的頁面執(zhí)行步驟使用合法的賬戶口令登陸。開啟WebScarab，配置對(duì)GET和POST請(qǐng)求進(jìn)行攔截在瀏覽器中配置代理服務(wù)器IP為，端口為8008在Web頁面中進(jìn)行一些操作（比如修改個(gè)人信息），這些操作都會(huì)被WebScarab攔截，不修改，在彈出的WebScarab界面中點(diǎn)擊“AcceptChanges”按鈕。這樣請(qǐng)求就被WebScarab記錄下來。然后在Web頁面中點(diǎn)擊注銷/退出（logout）。點(diǎn)擊WebScarab的“ManualRequest”TAB頁，在PreviousRequests的下拉列表框中選擇“步驟4”所產(chǎn)生的URL請(qǐng)求，然后點(diǎn)擊“FetchResponse”，重新發(fā)送“步驟4”的URL請(qǐng)求。在WebScarab的Response的“Raw”Tab頁中觀察返回結(jié)果，如果還能夠正常完成“步驟4”的操作，則存在安全漏洞。預(yù)期結(jié)果在WebScarab的Response的“Raw”Tab頁中顯示“HTTP/1.1302MovedTemporarily”，不能夠訪問只有登陸才能訪問的頁面，不能完成只有登陸后才能完成的操作。備注如果存在多個(gè)注銷功能的頁面，要重復(fù)測(cè)試過程把所有有注銷功能的頁面測(cè)試完。測(cè)試結(jié)果2.7.5會(huì)話超時(shí)時(shí)間測(cè)試編號(hào)SEC_Web_SESSION_05測(cè)試用例名稱會(huì)話超時(shí)時(shí)間測(cè)試測(cè)試目的查看是否存在瀏覽器窗口閑置超時(shí)后需重新登錄的機(jī)制用例級(jí)別1

1、已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在登陸認(rèn)證模塊已知正確的用戶名、口令執(zhí)行步驟使用正常的用戶、口令登錄系統(tǒng)。將瀏覽器窗口閑置11分鐘。刷新瀏覽器，查看是否需要重新登錄。備注：也可以登陸后臺(tái)Web服務(wù)器，查看對(duì)應(yīng)的web.xml文件中的session-timeout參數(shù)值，該值表示會(huì)話的超時(shí)時(shí)間。預(yù)期結(jié)果會(huì)話超時(shí)時(shí)間不大于10分鐘，刷新瀏覽器之后需要重新登錄。備注測(cè)試結(jié)果2.7.6會(huì)話定置測(cè)試編號(hào)SEC_Web_SESSION_06測(cè)試用例名稱會(huì)話定置（sessionfixation）測(cè)試測(cè)試目的查看登錄成功后會(huì)話標(biāo)識(shí)是否變更。如果未變更，那么攻擊者就可以通過一些手段（如構(gòu)造URL）為受害著確定一個(gè)會(huì)話標(biāo)識(shí)，當(dāng)受害者登錄成功后，攻擊者也可以利用這個(gè)會(huì)話標(biāo)識(shí)冒充受害者訪問系統(tǒng)。用例級(jí)別3測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在登陸認(rèn)證模塊已知正確的用戶名、口令執(zhí)行步驟訪問登錄頁面開啟WebScarab，配置對(duì)GET和POST請(qǐng)求進(jìn)行攔截；并在瀏覽器中配置代理服務(wù)器IP為，端口為8008填入正確的用戶名和口令，填入正確的驗(yàn)證碼，登錄WebScarab跳出攔截界面，點(diǎn)擊“RAW”TAB頁，查看會(huì)話標(biāo)識(shí)（例如JSP的會(huì)話標(biāo)識(shí)為JSESSIONI）D的值。點(diǎn)擊“AcceptChanges”，登錄成功。成功登錄后，點(diǎn)擊系統(tǒng)提供的鏈接，請(qǐng)求任意功能頁面。WebScarab再次跳出攔截界面，點(diǎn)擊“RAW”TAB頁，查看（例如JSP的會(huì)話標(biāo)識(shí)為JSESSIONI）D的值。如果步驟4和步驟7查看到的會(huì)話標(biāo)識(shí)的值一樣，說明登錄前后會(huì)話標(biāo)識(shí)沒有變更，存在會(huì)話定置的安全漏洞。預(yù)期結(jié)果步驟4和步驟7（登錄前后）查看到的會(huì)話標(biāo)識(shí)的值不一樣備注雖然會(huì)話定置的危害比較大，但由于要事先為受害者確定會(huì)話標(biāo)識(shí)，并且讓受害者根據(jù)此會(huì)話標(biāo)識(shí)登錄系統(tǒng)，其發(fā)生的概率很小，所以綜合風(fēng)險(xiǎn)不高，測(cè)試時(shí)根據(jù)被測(cè)系統(tǒng)安全要求的高低，來確定是否執(zhí)行該用例。測(cè)試結(jié)果2.8權(quán)限管理測(cè)試目前存在著兩種越權(quán)操作類型：橫向越權(quán)操作和縱向越權(quán)操作。前者指的是攻擊者嘗試訪問與他擁有相同權(quán)限的用戶的資源；而后者指的是一個(gè)低級(jí)別攻擊者嘗試訪問高級(jí)別用戶

權(quán)限管理測(cè)試更多的是進(jìn)行人工分析，自動(dòng)化工具無法了解頁面的具體應(yīng)用場(chǎng)景以及邏輯判斷過程。因此這里的測(cè)試需要首先測(cè)試人員理解測(cè)試業(yè)務(wù)系統(tǒng)的邏輯處理流程，并在此基礎(chǔ)上進(jìn)行如下測(cè)試。這里有幾個(gè)測(cè)試的參考依據(jù)：頁面是否進(jìn)行權(quán)限判斷；頁面提交的資源標(biāo)志是否與已登陸的用戶身份進(jìn)行匹配比對(duì)；用戶登陸后，服務(wù)器端不應(yīng)再以客戶端提交的用戶身份信息為依據(jù)，而應(yīng)以會(huì)話中保存的已登陸的用戶身份信息為準(zhǔn)；必須在服務(wù)器端對(duì)每個(gè)請(qǐng)求URL進(jìn)行鑒權(quán)，而不能僅僅通過客戶端的菜單屏蔽或者按鈕Disable來限制。2.8.1橫向測(cè)試編號(hào)SEC_Web_PRIVI_01測(cè)試用例名稱基于用戶身份處理的橫向越權(quán)操作測(cè)試測(cè)試目的發(fā)現(xiàn)頁面中存在的橫向越權(quán)操作。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別控制已知某頁面（假設(shè)為/abc.jsp）.提交的參數(shù)中存在著代表用戶（假設(shè)為userA）身份的標(biāo)志（假設(shè)為operator），與userA同級(jí)別權(quán)限的用戶userB測(cè)試用機(jī)安裝了WebScarab軟件（本測(cè)試基于20070504版本來描述）執(zhí)行步驟運(yùn)行WebScarab點(diǎn)擊Proxy標(biāo)簽頁->ManualEdit標(biāo)簽頁選中Interceptrequests

打開瀏覽器，在代理地址中配置host為，port為8008使用userA的身份登陸到Web應(yīng)用進(jìn)入/abc.jsp頁面，提交數(shù)據(jù)在彈出的對(duì)話框中的URLEncoded頁面中，更改operator參數(shù)的值為userB，再點(diǎn)擊AcceptChanges按鈕提交觀察服務(wù)器處理預(yù)期結(jié)果服務(wù)器返回操作失敗或者以u(píng)serA的用戶身份操作。備注如果參數(shù)是基于GET方式的URL傳遞，則不需要通過WebScarab工具，直接在URL中進(jìn)行修改提交即可。參考資料編號(hào)SEC_Web_PRIVI_02測(cè)試用例名稱基于資源ID處理的橫向越權(quán)操作測(cè)試測(cè)試目的發(fā)現(xiàn)頁面中存在的橫向越權(quán)操作。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別控制Web業(yè)務(wù)存在相同級(jí)別的兩個(gè)用戶，假設(shè)分別為userA和userB已知某頁面（假設(shè)為/abc.jsp）.提交的參數(shù)中存在著代表資源的標(biāo)志（假設(shè)為resource_id）測(cè)試用機(jī)安裝了WebScarab軟件（本測(cè)試基于20070504版本來描述）執(zhí)行步驟運(yùn)行WebScarab點(diǎn)擊Proxy標(biāo)簽頁->ManualEdit標(biāo)簽頁選中Interceptrequests打開瀏覽器，在代理地址中配置host為，port為8008使用userA的身份登陸到Web應(yīng)用進(jìn)入/abc.jsp頁面，提交數(shù)據(jù)在彈出的對(duì)話框中的URLEncoded頁面中，更改resource_id參數(shù)的值為userB所屬的資源id，再點(diǎn)擊AcceptChanges按鈕提交觀察服務(wù)器處理預(yù)期結(jié)果服務(wù)器返回操作失敗。備注如果參數(shù)是基于GET方式的URL傳遞，則不需要通過WebScarab工具，直接在URL中進(jìn)行修改提交即可。參考資料2.8.2縱向測(cè)試橫向測(cè)試的兩個(gè)用例在本測(cè)試類別中同樣使用，只需要對(duì)用戶身份進(jìn)行測(cè)試時(shí)使用上下級(jí)權(quán)限即可。在下面的測(cè)試中，我們更偏向于使用白盒測(cè)試。這樣對(duì)于測(cè)試人員來說節(jié)約了非常多的時(shí)間。而且也能夠全面覆蓋所有的頁面。編號(hào)SEC_Web_PRIVI_03測(cè)試用例名稱基于菜單URL的測(cè)試測(cè)試目的發(fā)現(xiàn)應(yīng)用中存在的URL縱向越權(quán)操作。用例級(jí)別1

1、Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別控制擁有超級(jí)管理員及普通用戶的帳號(hào)和密碼執(zhí)行步驟以超級(jí)管理員身份登陸Web網(wǎng)站單擊鼠標(biāo)右鍵，選擇“查看源文件”在網(wǎng)頁“源文件”中查找重要的管理菜單（比如用戶管理）的URL鏈接，并拷貝URL鏈接地址退出登陸以普通用戶身份登陸Web網(wǎng)站在瀏覽器地址欄中輸入“用戶管理”的URL地址（如/usermanage.do），然后回車觀察普通用戶是否能夠順利進(jìn)入“用戶管理”頁面，并進(jìn)行用戶管理操作。預(yù)期結(jié)果普通用戶不能夠通過直接URL訪問、使用未授權(quán)的功能。備注測(cè)試結(jié)果編號(hào)SEC_Web_PRIVI_04測(cè)試用例名稱基于源代碼的測(cè)試測(cè)試目的發(fā)現(xiàn)頁面中存在的縱向越權(quán)操作。用例級(jí)別3測(cè)試條件Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別控制擁有Web應(yīng)用的源代碼，假設(shè)存放目錄為測(cè)試用機(jī)的 目錄，且假設(shè)頁面為jsp已知本目錄對(duì)應(yīng)的Web路徑，假設(shè)為/webapp/執(zhí)行步驟使用無權(quán)限的用戶身份訪問Web應(yīng)用，保持瀏覽器窗口。dir/B*.jsp>list.html使用ultraedit打開list.html點(diǎn)擊Search->Replace按鈕在彈出的對(duì)話框中使用替換用測(cè)試第一步中保持的瀏覽器打開list.html文件依次點(diǎn)擊test連接觀察結(jié)果，如果能夠訪問，則進(jìn)行記錄使用的低級(jí)別的用戶身份登陸系統(tǒng)，保持瀏覽器窗口重復(fù)8，9步操作觀察結(jié)果預(yù)期結(jié)果不能夠訪問頁面（如提示“拒絕訪問”等信息）。備注

編號(hào)SEC_Web_PRIVI_05測(cè)試用例名稱基于crawling的測(cè)試測(cè)試目的發(fā)現(xiàn)頁面中存在的縱向越權(quán)操作。用例級(jí)別1測(cè)試條件1、Web業(yè)務(wù)運(yùn)行正常Web業(yè)務(wù)存在身份級(jí)別控制已知待測(cè)目標(biāo)URL，假設(shè)為/page.xxx測(cè)試用機(jī)上安裝了AppScan執(zhí)行步驟雙擊運(yùn)行AppScan，選擇file—new新建掃描，選擇掃描模板default彈出掃描配置對(duì)話框，選擇掃描類型，默認(rèn)為WebApplicationScan，點(diǎn)擊next在StartingURL中填入需掃描的目標(biāo)服務(wù)器域名或IP地址，其他配置不需修改，點(diǎn)擊next選擇默認(rèn)的RecordedLogin(recommendedmethod)，點(diǎn)擊New在彈出的頁面中用權(quán)限較高的用戶身份登錄，如：admin等關(guān)閉頁面，彈出如下對(duì)話框，點(diǎn)擊OKLPMLrlSequ*nc?TJ?follwiΛEListshavstheEUnlaLIFrecordedLaEiIIs?ouence.ClidEcι?.tieUflLT?τcinwierIfRL ITyPgλttpV∕κβC3onβλuM-ei.con/ LOgmhttp://E4E3*RQ.huu,4L.MVt/l。吼hPm LOgLD.http：secz?n?.hu?A?ι.co" Loclx.http：//sccipnc.huvicι.cαιι∕9^ri?IcsIqeijl L□clδKttp!//secionekuvreι.con/lo^in.p? LOSDLhttp;〃sec20ReliuM-ei.con/lc^iiLphp?operate=lagirdnsarnarιe=l Loginλttp：/7E4CIΦΩ4.h∣JW4L.C4F√irid.?X.ptφ IdγΞ4EEL4II￡ I之一叵IAIIec?lcujtehLIPCig ；?ew… J?ew Qclcte舊LrrStssi<σ∣HetectaOTLApφSc?r∣viUUEQthαfoJLαvi吟IraMMnEQP白段S^ptttariitcVkliddt0re±pgg±tnin,~sassioφlreq,u?5ls.IirSessioaLKts^4iut:<1iclass-"leaf"><-ιhr,ef-,'/?q-1ogout,,>S?ljβ<∕a>?∕1-j><∕ul><∕div><∕dτv><divid-"b1□ck-□scr-3"class-"clear-blockb1oc∣?block-user":=<h2>雅IlB^兒詞<∕h2>udi"class^"content".=SB喇留辨消^at?ΞL?βKSS7∕em=^7<em>l5???i??Jat?SttI噴^r^di√cla≡≡="Itetti-Tisfsth^s^I???EJL?Bc∕h3s≤ul?tli?lwxianyu_56987￠/1i?■：1i?yangguang1ei-571Ξ5≤∕1i><∕u1><∕d^iv>√di√><∕dnv> HespcdiseTstternj<?hre^-''/?!=!osffutft'> ∣fttarkFaHErninEm]IILrt*t?≈KeEiLLdrEgfeMMian力=￡Ir∣≡eaι≡jtiv?JKmanInteractionLaOinΞeleelthisαφtion.fω*αpφLicaiioπIOEjRthatrequiresαhuι?αn.inter口cti皿??CTinp-JactψrAuthjHitiedtiuii.Oua-TLnAF^svardc.CAFjTEHAj□什OnPt?LgIaSgr<ι?dk.timwLogin,le『&qnirE&不需修改任何參數(shù)，點(diǎn)擊next不需修改參數(shù)，選擇Startafullautomaticscan，點(diǎn)擊finish完成配置，開始掃描掃描完成，保存掃描結(jié)果，假設(shè)命名為admin.scan重新開始掃描，重復(fù)步驟1、2、3在選擇用戶身份（即：第4步）時(shí)，選擇NoLogin，點(diǎn)擊nextORecardledLogin(reconimendedmethod)I一I .I-□tronplth?usereachIieeIoeinisrequired(SelectthisOPQLOnforTwo-PactorΛuIhentιcallo∏,One-TinePaswσrds,CuTTHAJ。Aμtomβ?LoginIJSafN?ftdFassvord:CenfirnF*tzoτd您F*i??]在彈出的配置對(duì)話框中（即：第7步的對(duì)話框）選擇AdvancedTestSettings，彈出下面對(duì)話框，點(diǎn)擊Configure選項(xiàng)在PrivilegeEscalation中，點(diǎn)擊Add添加已經(jīng)掃描出的結(jié)果；點(diǎn)擊打開導(dǎo)入掃描結(jié)果；并用一個(gè)名稱標(biāo)記它，如：admin，點(diǎn)擊ok預(yù)期結(jié)果掃描結(jié)果中不會(huì)提示存在漏洞。備注參考資料文件上傳下載測(cè)試2.9.1文件上傳測(cè)試編號(hào)SEC_Web_FILE_01測(cè)試用例名稱文件上傳測(cè)試測(cè)試目的很多網(wǎng)站提供文件上傳功能（包括圖片上傳），如果在服務(wù)器端沒有對(duì)上傳文件的類型、大小以及保存的路徑及文件名進(jìn)行嚴(yán)格限制，攻擊者就很容易上傳后門程序取得WebShell，從而控制服務(wù)器。用例級(jí)別1測(cè)試條件1、Web業(yè)務(wù)運(yùn)行正常2、待測(cè)網(wǎng)站存在文件上傳頁面執(zhí)行步驟登陸網(wǎng)站，并打開文件上傳頁面點(diǎn)擊“瀏覽”按鈕，并選擇本地的一個(gè)JSP文件（比如hacker.jsp），確認(rèn)上傳。如果客戶端腳本限制了上傳文件的類型（比如允許gif文件），則把hacker.jsp更名為hacker.gif；配置HTTPProx（yWebScarab）進(jìn)行http請(qǐng)求攔截；重新點(diǎn)擊“瀏覽”按鈕，并選擇hacker.gift，確認(rèn)上傳。在WebScarab攔截的HTTP請(qǐng)求數(shù)據(jù)中，將hacker.gif修改為hacker.jsp，再發(fā)送請(qǐng)求數(shù)據(jù)。登陸后臺(tái)服務(wù)器，用命令find/-namehacker.jsp查看hacker.jsp文件存放的路徑。如果可以直接以Web方式訪問，則構(gòu)造訪問的URL，并通過瀏覽器訪問hacker.jsp，如果可以正常訪問，則已經(jīng)取得WebShell，測(cè)試結(jié)束。如果hacker.jsp無法通過web方式訪問，例如hacker.jsp存放在/home/tmp/目錄下，而/home/tomcat/webapps目錄對(duì)應(yīng)/，則進(jìn)行下一步重復(fù)1～3，在WebScarab攔截的HTTP請(qǐng)求數(shù)據(jù)中，將hacker.gif修改為../tomcat/webapps/hacker.jsp，再發(fā)送請(qǐng)求數(shù)據(jù)。在瀏覽器地址欄輸入/hacker.jsp，訪問該后門程序，取得WebShell，結(jié)束測(cè)試。預(yù)期結(jié)果服務(wù)器端對(duì)上傳文件的類型、大小以及保存的路徑及文件名進(jìn)行嚴(yán)格限制，無法上傳后門程序。備注測(cè)試結(jié)果2.9.2文件下載測(cè)試編號(hào)SEC_Web_FILE_02測(cè)試用例名稱文件下載測(cè)試1測(cè)試目的很多網(wǎng)站提供文件下載功能，如果網(wǎng)站對(duì)下載文件的權(quán)限控制不嚴(yán)，攻擊者很容易利用目錄跨越、越權(quán)下載到本不該下載的文件（比如其他用戶的私有、敏感文件）。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知某下載頁面URL（假設(shè)用戶a下載自己的工資清單文件/download/usera/salary.xls）

1、猜測(cè)并更改URL路徑/download/userb/salary.xls/download/userc/salary.xls/admin/report.xls2、觀察頁面返回信息，如果可以越權(quán)獲取到其他用戶的私有、敏感文件，則說明存在漏洞。預(yù)期結(jié)果不能越權(quán)獲取到不該獲取的文件備注參考資料編號(hào)SEC_Web_FILE_03測(cè)試用例名稱文件下載測(cè)試2測(cè)試目的很多網(wǎng)站可能接受類似于文件名的參數(shù)用于下載或者顯示內(nèi)容。如果未進(jìn)行嚴(yán)格判斷的話，攻擊者可以通過修改這個(gè)參數(shù)值來下載、讀取任意文件內(nèi)容。比如、/etc/password，甚至是數(shù)據(jù)庫(kù)連接配置文件以及源代碼等等。用例級(jí)別1測(cè)試條件Web業(yè)務(wù)運(yùn)行正常已知某頁面URL(假設(shè)為/viewfile.do?filename=report.xls)執(zhí)行步驟更改參數(shù)的值為其他路徑和文件在瀏覽器地址欄中嘗試以下URL/viewfile.do?filename=../etc/passwd/viewfile.do?filename=../../etc/passwd/viewfile.do?filename=../../../etc/passwd/viewfile.do?filename=../../../../etc/passwd/viewfile.do?filename=../../../../../etc/passwd對(duì)于UNIX/Linux服務(wù)器可以嘗試下載/etc/passwd；對(duì)于Windows服務(wù)器可以嘗試下載c:□oot.ini文件觀察頁面返回信息，如果可以獲取到passwd或boot.ini文件，則說明存在漏洞。預(yù)期結(jié)果不能獲取到passwd或boot.ini或JSP源代碼等文件。備注該漏洞屬于OWASP2007年十大Web安全漏洞的“不安全的直接對(duì)象引用”。參考資料2.10信息泄漏測(cè)試泄露出的敏感信息包括但不限于：數(shù)據(jù)庫(kù)連接地址、帳號(hào)和口令等信息、服務(wù)器系統(tǒng)信息、Web服務(wù)器軟件名稱、版本、Web網(wǎng)站路徑、除html之外的源代碼、業(yè)務(wù)敏感數(shù)據(jù)等。2.10.1連接數(shù)據(jù)庫(kù)的帳號(hào)密碼加密測(cè)試編號(hào)SEC_Web_LEAKAGE_01測(cè)試用例名稱連接數(shù)據(jù)庫(kù)的帳號(hào)密碼加密測(cè)試

連接數(shù)據(jù)庫(kù)的帳號(hào)密碼在配置文件中如果明文存儲(chǔ)，容易被惡意維護(hù)人員獲取，從而直接登陸后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)篡改。用例級(jí)別1測(cè)試條件1、擁有Web服務(wù)器操作系統(tǒng)的帳號(hào)和口令2、已知連接數(shù)據(jù)庫(kù)的帳號(hào)密碼所在的配置文件，可以找環(huán)境搭建人員咨詢。（還可以用grep命令查找哪些xml文件包含該數(shù)據(jù)庫(kù)帳號(hào)，然后打開這些文件進(jìn)行檢查）執(zhí)行步驟1、登陸Web服務(wù)器的操作系統(tǒng)。用find命令找到對(duì)應(yīng)的配置文件。查看配置文件中連接數(shù)據(jù)庫(kù)的帳號(hào)密碼在配置文件中是否加密。預(yù)期結(jié)果連接數(shù)據(jù)庫(kù)的帳號(hào)密碼在配置文件中加密存儲(chǔ)備注測(cè)試結(jié)果2.10.2客戶端源代碼敏感信息測(cè)試編號(hào)SEC_Web_LEAKAGE_02測(cè)試用例名稱客戶端源代碼敏感信息測(cè)試測(cè)試目的Web頁面的html源代碼中不允許包含口令等敏感信息，特別關(guān)注修改口令、帶有星號(hào)口令的Web頁面。用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站地址2、Web業(yè)務(wù)正常運(yùn)行3、待測(cè)頁面能夠正常訪問執(zhí)行步驟登陸Web服務(wù)器。選擇可能存在敏感信息的頁面（比如修改口令、帶有星號(hào)口令的頁面）。在頁面上單擊鼠標(biāo)右鍵，選擇“查看源代碼”。查看頁面的源代碼包含口令等敏感信息。預(yù)期結(jié)果在頁面的源代碼中看不到明文的口令等敏感信息備注測(cè)試結(jié)果2.10.3客戶端源代碼注釋測(cè)試編號(hào)SEC_Web_LEAKAGE_03測(cè)試用例名稱客戶端源代碼注釋測(cè)試測(cè)試目的開發(fā)版本的Web程序所帶有的注釋在發(fā)布版本中沒有被去掉，而導(dǎo)致一些敏感信息的泄漏。我們要查看客戶端能看到的頁面源代碼并發(fā)現(xiàn)此類安全隱患。用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站地址2、Web業(yè)務(wù)正常運(yùn)行

執(zhí)行步驟1、從客戶端查看網(wǎng)頁源代碼。2、找到注釋部分并查看是否有敏感信息。預(yù)期結(jié)果源代碼里不存在敏感信息（比如：內(nèi)網(wǎng)IP地址、SQL語句、密碼、物理路徑等）。備注測(cè)試結(jié)果2.10.4異常處理在這個(gè)部分我們通過構(gòu)造各種異常的條件讓W(xué)eb程序處理，通過其返回信息來判斷是否存在信息泄漏的問題。不存在的URL編號(hào)SEC_Web_LEAKAGE_04測(cè)試用例名稱不存在的URL測(cè)試目的Web網(wǎng)站在處理用戶提交的不存在的URL時(shí)會(huì)返回錯(cuò)誤信息，我們通過返回的錯(cuò)誤信息來確認(rèn)是否會(huì)有敏感信息的泄漏問題。用例級(jí)別1測(cè)試條件1、已知Web網(wǎng)站地址，假設(shè)為：或IP：http://aa.bb.cc.dd2、Web業(yè)務(wù)運(yùn)行正常執(zhí)行步驟我們請(qǐng)求不存在的文件，比如：/unexist.jsp 或 者h(yuǎn)ttp://aa.bb.cc.dd/unexist.jsp觀察返回結(jié)果預(yù)期結(jié)果返回的頁面中沒有敏感信息。備注在各個(gè)目錄和功能模塊重復(fù)此操作測(cè)試結(jié)果□非法字符編號(hào)SEC_Web_LEAKAGE_05測(cè)試用例名稱非法字符導(dǎo)致信息泄漏測(cè)試目的Web應(yīng)用在處理用戶提交的含有特殊字符的URL時(shí)，可能會(huì)返回錯(cuò)誤的信息，通過錯(cuò)誤信息來判斷是否存在敏感信息的泄漏問題。用例級(jí)別1測(cè)試條件已知Web網(wǎng)站地址Web業(yè)務(wù)正常運(yùn)行如果是IE瀏覽器，在Internet選項(xiàng)-＞高級(jí)里把“顯示友好HTTP信息”去掉選擇狀態(tài)已知待測(cè)目