<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 安全 Web安全 查看内容

      Web 系统的安全性测试主要测试点

      2019-4-4 01:36| 投稿: xiaotiger |来自: 互联网


      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

      摘要: 随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。Web 系统的安全性测试包括以下内容:(1)Web 漏洞扫描(2)服务 ...

      随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。

      Web 系统的安全性测试包括以下内容:

      (1)Web 漏洞扫描

      (2)服务器端信息测试

      (3)文件和目录测试

      (4)认证测试

      (5)会话管理测试

      (6)权限管理测试

      (7)文件上传下载测试

      (8)信息泄漏测试

      (9)输入数据测试

      (10)跨站脚本攻击测试

      (11)逻辑测试

      (12)搜索引擎信息测试

      (13)Web Service 测试

      (14)其他测试

      本章节先主要给大家介绍(1),(2)点

      第一点:Web 漏洞扫描

      由于开发和设计的原因,可能导致Web 系统存在漏洞,在测试过程中可以使用一些自动化扫描工具对Web 系统的漏洞进行扫描。但自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL 注入等),不是针对用户代码的,也不能扫描业务逻辑,无法对这些漏洞做进一步业务?#31995;?#21028;断。而往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。

      Web 目前分为Application 和Web Service 两部分。Application 指通常意义?#31995;腤eb 应用;而Web Service 是一种面向服务的架构技术,通过标准的Web 协议(如HTTP、XML、SOAP、WSDL)提供服务。

      现在市场上Web 漏洞扫描的工具比较多,如WebInspect、N-Stalker、Acunetix Web Vulnerability Scanner、Rational AppScan 等。下面简单介绍Rational AppScan 工具的使用。

      Rational AppScan 是专门面向Web 应用安全检测的自动化工具,是对Web 应用和Web Service进行自动化安全扫描的黑?#27844;?#20855;。它不但可以简化企业发现和修复Web 应用安全隐患的过程(这些工作以往都是由人工进行,成本相对较高,效率低下),还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。

      应用程序开发团队在项目交付前,可以利用Rational AppScan 对所开发的应用程序与服务进行安全缺陷的扫描,自动化检测Web 应用的安全漏洞,从网站开发的起始阶段就扫除Web 应用安全漏洞。

      Rational AppScan 的工作流程如图12-5 所示

      第二点:服务器端信息测试

      服务器端信息测试主要是从服务器对客户端开发的信息角度来测试服务器被攻击的可能性,以及被攻击的难易程?#21462;?#20027;要需要测试以下几方面的信息:

      1、服务器?#24066;?#36816;行账号权限测试

      2、Web 服务器端口测试

      3、Web 服务器版本信息测试

      4、HTTP 方法测试

      5、HTTP DELETE 方法测试

      6、HTTP PUT 方法测试

      7、HTTP TRACE 方法测试

      8、HTTP MOVE 方法测试

      9、HTTP COPY 方法测试

      (1)服务器?#24066;?#36816;行账号权限测试

      一般地,运行Web 服务器所在的操作系统所开放的账号权限越高,那么Web 服务器遭到攻击的可能性越大,并?#20063;?#29983;的危害也越大。因此,不应使用Root、Administrator 等特权账号或高级别权限的操作系统账号来运行Web 系统,应该尽可能地使用?#22270;?#21035;权限的操作系统账号,以此降低Web 服务器被攻击的风险。

      测试时登录Web 服务器操作系统,查看运行Web 服务器的操作系统账号,确定操作系统的账号是否为Root、Administrator 等特权账号或高级别权限账号,如果是,则存在漏洞。

      对于Windows 操作系统:打开Windows 任务管理器,选择“进程”选项卡,选中“显示所有用户的进程”复选框,检查运行Web 服务器的账号。

      对UNIX 或Linux 系统:运行“ps–ef|grep java”命令,返回结果第一列的操作系统用户就是运行Web 服务器的账号。例如以下运行信息:

      root 4035 4010 0 17:13 pts/2 00:00:00 grep java

      (2)Web 服务器端口测试

      有时Web 服务器除业务端口外还会开放一些默认端口(如JBoss 开放的8083),这些默认端口对最终用户是不需要开放的,而且也不会维护,容易被攻击,本测试的目的在于发现服务器上未使用的Web 端口。

      可以使用端口扫描工具对Web 服务器域名或IP 地址(如IP 地址为192.168.1.103)进行扫描,检查未开放业务不需要使用的Web 服务端口。常用的端口扫描工具有NetScanTools、WinScan、SuperScan、NTOScanner、WUPS、NmapNT 和Winfingerprint。

      以扫描工具SuperScan 3.00 为例,SuperScan 是一款基于TCP 协议的端口扫描器、Pinger 和主机名解析器。可以针对?#25105;?#30340;IP 地址?#27573;?#30340;Ping ?#25237;?#21475;扫描,并且能同时扫描多个?#25105;?#31471;口;解析和反向解析?#25105;釯P 地址或?#27573;?使用内建编辑器修改端口列表及端口定义;使用用户自定义的应用程序与任何被发现打开的端口进行连接;查看被连接主机的回应;保存扫描列表到文本文件中。

      在主界面中的IP 组的Start 文本框中输入开始的IP,在Stop 文本框中输入结束的IP,在Scantype 组中选择All list ports from 单选项,并?#20184;?#25195;描端口?#27573;?1~65535),如图12-6 所示

      单击Scan 组中的Start 按钮,就可以在选择的IP 地址段内扫描不同主机开放的端口。扫描完成后,选中扫描到的主机IP,单击Expand all 按钮会展开每台主机的详细扫描结果,如图12-7所示

      (3)Web 服务器版本信息测试

      为了防?#36141;?#23458;攻击,在很多情况下,通过获取Banner 的信息可以获取HTTP 指纹识别方法。通常会将Web 服务器的信息进行隐藏或者通过配置、增加插件来更改或模糊服务器的Banner 信息。

      HTTP 指纹识别现在已经成为应用程序安全中一个新兴的话题,指纹识别可以分为两步:一是对指纹进行收集和分类;二是将未知的指纹同被存储在数据库中的指纹进行比较,从而?#39029;?#26368;符?#31995;?#25351;纹。

      操作系统指纹识别在网络评估中是一件常见的工作,现在已有很多操作系统指纹识别技术,操作系统指纹识别为什么能成功呢?因为每个操作系统实现TCP/IP 协议时有微小的差别,当前比较流行的是利用TCP/IP 堆栈进行操作系统识别。

      HTTP 指纹识别的原理大致也是如此,记录不同服务器对HTTP 协议执行中的微小差别进行识别,HTTP 指纹识别比TCP/IP 堆栈指纹识别复?#26377;?#22810;,因为定制HTTP 服务器的配置文件、增加插件或组件使得更改HTTP 的响应信息变得更复杂。

      在测试过程中可以使用一些工具进行渗透测试,来获取Web 服务器的相关版本信息。Httprint就是一个Web 服务器指纹工具,通过该工具可以对Web 服务器进行渗透测试。尽管可以通过改变服务器的旗帜字符串(server bannerstrings),或通过类似mod_security或servermask的插件混淆?#29575;擔?#20294;Httprint 工具依然可以依赖Web 服务器的特点去准确地识别Web 服务器。Httprint ?#37096;?#29992;于检测没有服务器旗帜字符串的网络功能设备,如无线接入点、路由器、交换机、电缆调制解调器等。

      运行Httprint_gui.exe,在Host 列中输入主机域名(如果没有域名则输入IP 地址),在端口列中输入端口号。如果为HTTPS,则要选择锁图标列的复选框,如图12-8 所示

      单击程序下方的运行按钮,查看相关报告,确定报告中是否存在Web 服务器准确的版本信息,如图12-9 所示

      (4)HTTP 方法测试

      HTTP 方法测试主要是测试HTTP 开发的方法,?#34892;¦eb 服务器默认情况下开放了一些不必要的HTTP 方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。

      HTTP 请求常见的方法有(所有的方法必须为大写):GET、POST、HEAD、PUT、DELETE、TRACE、CONNECT 和OPTIONS,详细见表12-7

      HTTP 方法测试的步骤如下:

      第一步:单击“开始”→“运行”命令,输入cmd 命令后按Enter 键,运行cmd.exe。

      第二步:输入命令“telnet IP 端口”(其中IP ?#25237;?#21475;按?#23548;是?#20917;填写,用空格隔开,如telnet 192.168.1.3 80)。

      第三步:按Enter 键。

      第四步:在新行中输入命令OPTIONS /HTTP/1.1,然后按Enter 键。

      第五步:观察返回结果中Allow 的方法列表。

      返回结果样例:

      http/1.1 200 OK

      server: Apache-Coyote/1.1

      X-Powered-By: Servlet 2.4; JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomcat-5.5

      Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS

      Content-Length: 0

      Date: Mon, 29 Jun 2009 08:02:47 GMT

      Connection: close

      如果返回结果中包含不安全的HTTP 方法(如DELETE、PUT、TRACE、MOVE、COPY),

      则验证对这些方法的防?#27934;?#26045;是否可用,如果方法可用则?#24471;?#23384;在漏洞,测试无法通过。

      备注:由于不同的Web 服务器支持的HTTP 协议版本不同,如果系统不支持HTTP/1.0,那么第四步返回“HTTP/1.0 400 Bad Request?#20445;?#36825;种情况下,应该更改第四步的输入行为OPTIONS / HTTP/1.0。

      (5)HTTP DELETE 方法测试

      如果Web 服务器开放了DELETE 方法,那么攻击者能够通过该方法删除Web 服务器?#31995;?#25991;件,所以需要测试通过DELETE 方法是否能将服务器?#31995;?#25991;件删除。DELETE 方法测试步骤如下:

      在测试前先在Web 网站上创建一个文件(如test.txt)。

      第一步:单击“开始”→“运行”命令,输入cmd 命令后按Enter 键,运行cmd.exe。

      第二步:输入命令“telnet IP 端口”(其中IP ?#25237;?#21475;按?#23548;是?#20917;填写,用空格隔开,如telnet 192.168.1.3 80),并按Enter 键。

      第三步:在新行中输入命令DELETE /test.txt HTTP/1.0,然后按Enter 键。

      第四步:查看服务器?#31995;膖est.txt 文件是否被删除。

      该文件不能被删除,如果被删除,?#24471;鱓eb 服务存在风险.

      ?#24471;鰨?/strong>由于不同的Web 服务器支持的HTTP 协议版本不同,如果系统不支持HTTP/1.0,

      那么第三步返回“HTTP/1.0 400 Bad Request?#20445;?#36825;种情况下,应该更改第三步的输

      入行为DELETE /index.jsp HTTP/1.1。

      (6)HTTP PUT 方法测试

      如果Web 服务器开放了PUT 方法,那么攻击者能够通过该方法上传?#25105;?#25991;件到Web 服务器的一些目录中,包括一些Web 木马程序。测试时可以使用测试工具来模拟上传文件,对服务器可写权限进行测试。IIS PUT Scaner 为一款检测服务器可写漏洞的工具,通过IIS PUT Scaner 工具检测的步骤如下:

      第一步:运行IIS PUT Scaner 程序(假设已经安装该工具)。

      第二步:在Start IP 和End IP 输入框中输入Web 服务器的IP 地址,在Port 输入框中输入对应

      的端口,选中复选框Try to upload file 和Try on other systems,如图12-10 所示

      第三步:查看结果,PUT 栏中的值不能为YES,如果是且Update File 栏中的值为ok,?#24471;?#25991;件可以被上传到服务器。同时查看Web 服务器中没?#34892;?#21019;建的文件(如上传test.txt 文件),并且通过http://IP/test.txt请求不到该文件。

      (7)HTTP TRACE 方法测试

      如果Web 服务器开放了TRACE 方法(主要用于客户端通过向Web 服务器提交TRACE 请求来进行测试或获得诊断信息),攻击者能够通过该方法进行跨站攻击。

      跨站脚本攻击(Cross Site Script Execution,XSS)是指入侵者在远程Web 页面的HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是?#21464;?#35272;器下载该页面?#20445;?#23884;入其中的脚本将被解释执行。由于HTML 语言?#24066;?#20351;用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML 代码,例如记录论坛保存的用户信息(Cookie),由于Cookie 保存了完整的用户名和密码资料,用户?#31361;?#36973;受安全损失。如JavaScript脚本语句aler(t document.cookie)就能轻易获取用户信息,它会弹出一个包含用户信息的消息框,入侵者运用脚本就能把用户信息发送到他们自己的记录页面中,稍作分析便可以获取用户的敏?#34892;?#24687;。

      HTTP TRACE 方法测试的步骤如下:

      第一步:单击“开始”→“运行”命令,输入cmd 命令后Enter ?#23548;?#36816;行cmd.exe。

      第二步:输入命令“telnet IP 端口”(其中IP ?#25237;?#21475;按?#23548;是?#20917;填写,用空格隔开,如telnet 192.168.1.3 80),然后按Enter 键。

      第三步:在新行中输入TRACE/HTTP/1.0 命令,然后按Enter 键。

      第四步:观察返回的结果信息,Web 服务器返回的信息提示TRACE 方法“not allowed”。

      备注:由于不同的Web 服务器支持的HTTP 协议版本不同,如果系统不支持HTTP/1.0,

      那么第三步返回“HTTP/1.0 400 Bad Request?#20445;?#36825;种情况下,应该更改第三步的输

      入行为TRACE / HTTP/1.1。

      (8)HTTP MOVE 方法测试

      如果Web 服务器开放了MOVE 方法,用于请求服务器将?#20184;?#30340;页面?#39057;?#21478;一个网络地址,该方法不安全,容易被利用。

      HTTP MOVE 方法测试的步骤如下:

      第一步:单击“开始”→“运行”命令,输入cmd 命令然后按Enter 键,运行cmd.exe。

      第二步:输入命令“telnet IP 端口”(其中IP ?#25237;?#21475;按?#23548;是?#20917;填写,用空格隔开,如telnet 192.168.1.3 80),然后按Enter 键。

      第三步:在新行中输入MOVE /info/b.html /b.html HTTP/1.0 命令,并按Enter 键。

      第四步:观察返回的结果信息,Web 服务器返回的信息提示MOVE 方法“not supported”。

      备注:由于不同的Web 服务器支持的HTTP 协议版本不同,如果系统不支持HTTP/1.0,那么第三步返回“HTTP/1.0 400 Bad Request?#20445;?#36825;种情况下,应该更改第三步的输入行为MOVE /info/b.html /b.html HTTP/1.1。

      (9)HTTP COPY 方法测试

      如果Web 服务器开放了COPY 方法,用于请求服务器将?#20184;?#30340;页面拷贝到另一个网络地址,该方法不安全,容易被利用。

      HTTP COPY 方法测试的步骤如下:

      第一步:单击“开始”→“运行”命令,输入cmd 命令后按Enter 键,运行cmd.exe。

      第二步:输入命令“telnet IP 端口”(其中IP ?#25237;?#21475;按?#23548;是?#20917;填写,用空格隔开,如telnet 192.168.1.3 80),然后按Enter 键。

      第三步:在新行中输入COPY /info/b.html /b.html HTTP/1.0 命令,然后按Enter 键。

      第四步:观察返回的结果信息,Web 服务器返回的信息提示COPY 方法“not supported”

      备注:由于不同的Web 服务器支持的HTTP 协议版本不同,如果系统不支持HTTP/1.0,那么第三步返回“HTTP/1.0 400 Bad Request”;这种情况下,应该更改第三步的输入行为COPY /info/b.html /b.html HTTP/1.1。



      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价?#20302;?#20803;IT培训教程免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

      本文出自:https://www.toutiao.com/a6675509841756160525/

      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>
              广东快东十分走势图100期 幸运飞艇免费专家计划 一小时25元微信挂机 mlb2019排名 中国男子手球超级联赛 开个彩票中心 急速赛车单机 快3单双公式技巧规律 快乐12任五最大遗漏 体彩排列3文字公式 天津十一选五开奖基本走势图解 中国彩票大奖得主 湖南幸运赛车如何办理 一波中特 南粤风采36选7杀号规律