安全性测试初步接触.ppt

《安全性测试初步接触.ppt》由会员分享，可在线阅读，更多相关《安全性测试初步接触.ppt（35页珍藏版）》请在咨信网上搜索。

初步分类：权限权限（黑盒（黑盒+sql注入注入+目录遍历目录遍历+非法文件与文字上传与写入）非法文件与文字上传与写入）加密加密（网络传输、本地（网络传输、本地cookie、源文件、认证与会话）、源文件、认证与会话）攻击攻击（缓冲区溢出、（缓冲区溢出、sql注入、异常处理信息、端口扫描、服务器攻注入、异常处理信息、端口扫描、服务器攻击、跨站脚本攻击、击、跨站脚本攻击、http回车换行注入攻击、代码注入、回车换行注入攻击、代码注入、url重定向、重定向、google攻击）攻击）理论篇l做的比较粗糙，大家在这块有什么可以交流下，l消逝l黑盒主要测试点用户管理模块，权限管理模块，加密系统，认证系统等l工具使用Appscan（首要）、AcunetixWebVulnerabilityScanner（备用）、HttpAnalyzerFull、TamperIESetupl木桶原理安全性最低的模块将成为瓶颈，需整体提高l他人模型（虽然比较旧了）安全管理与审计安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全l访问控制l数据机密性l数据完整性l用户认证l防抵赖l安全审计网网络络安安全全层层次次层层次次模模型型网网络络安安全全技技术术实实现现安安全全目目标标用户安全（一）可手工执行或工具执行（一）可手工执行或工具执行 l输入的数据没有进行有效的控制和验证输入的数据没有进行有效的控制和验证l用户名和密码l直接输入需要权限的网页地址可以访问l上传文件没有限制（此次不需要）上传文件没有限制（此次不需要）l不安全的存储l操作时间的失效性1.1）输入的数据没有进行有效的控制和验）输入的数据没有进行有效的控制和验证证l数据类型（字符串，整型，实数，等）l允许的字符集l最小和最大的长度l是否允许空输入l参数是否是必须的l重复是否允许l数值范围l特定的值（枚举型）l特定的模式（正则表达式）（注：建议尽量采用白名单）1.21）用户名和密码）用户名和密码-1l检测接口程序连接登录时，是否需要输入相应的用户l是否设置密码最小长度（密码强度）l用户名和密码中是否可以有空格或回车？l是否允许密码和用户名一致l防恶意注册：可否用自动填表工具自动注册用户？（傲游等）l遗忘密码处理l有无缺省的超级用户?（admin等，关键字需屏蔽）l有无超级密码?l是否有校验码？1.22）用户名和密码）用户名和密码-2l密码错误次数有无限制？l大小写敏感？l口令不允许以明码显示在输出设备上l强制修改的时间间隔限制（初始默认密码）l口令的唯一性限制（看需求是否需要）l口令过期失效后，是否可以不登陆而直接浏览某个页面l哪些页面或者文件需要登录后才能访问/下载lcookie中或隐藏变量中是否含有用户名、密码、userid等关键信息1.3）直接输入需要权限的网页地址可以访）直接输入需要权限的网页地址可以访问问l避免研发只是简单的在客户端不显示权限高的功能项举例Bug：l没有登录或注销登录后，直接输入登录后才能查看的页面的网址（含跳转页面），能直接打开页面；l注销后，点浏览器上的后退，可以进行操作。l正常登录后，直接输入自己没有权限查看的页面的网址，可以打开页面。l通过Http抓包的方式获取Http请求信息包经改装后重新发送l从权限低的页面可以退回到高的页面（如发送消息后，浏览器后退到信息填写页面，这就是错误的）1.4）上传文件没有限制（此次不需要）上传文件没有限制（此次不需要）l上传文件还要有大小的限制。l上传木马病毒等（往往与权限一起验证）l上传文件最好要有格式的限制；此次我们不需要验证此处，简单介绍下，跳过1.5）不安全的存储）不安全的存储 l在页面输入密码，页面应显示“*”；l数据库中存的密码应经过加密；l地址栏中不可以看到刚才填写的密码；l右键查看源文件不能看见刚才输入的密码；l帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号1.6）操作时间的失效性）操作时间的失效性 l检测系统是否支持操作失效时间的配置，同时达到所配置的时间内没有对界面进行任何操作时，检测系统是否会将用户自动失效，需要重新登录系统。l支持操作失效时间的配置。l支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。如，用户登陆后在一定时间内（例如15分钟）没有点击任何页面，是否需要重新登陆才能正常使用。（二）借助工具或了解后手工来进行测试（二）借助工具或了解后手工来进行测试 l不能把数据验证寄希望于客户端的验证l不安全的对象引用，防止XSS攻击l注入式漏洞（SQL注入）l传输中与存储时的密码没有加密，不安全的通信l目录遍历2.1）不能把数据验证寄希望于客户端的验）不能把数据验证寄希望于客户端的验证证 l避免绕过客户端限制（如长度、特殊字符或脚本等），所以在服务器端验证与限制l客户端是不安全，重要的运算和算法不要在客户端运行。lSession与cookie例：保存网页并对网页进行修改，使其绕过客户端的验证。（如只能选择的下拉框，对输入数据有特殊要求的文本框）还可以查看cookie中记录，伪造请求测试中，可使用TamperIESetup来绕过客户端输入框的限制2.21）不安全的对象引用，防止）不安全的对象引用，防止XSS等攻击等攻击l阻止带有语法含义的输入内容，防止CrossSiteScripting(XSS)Flaws跨站点脚本攻击（XSS）l防止Cross-siterequestforgery（CSRF）跨站请求伪造lxss解释：不可信的内容被引入到动态页面中，没有识别这种情况并采取保护措施。攻击者可在网上提交可以完成攻击的脚本，普通用户点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改cookie到虚假广告在内的种种攻击行为2.22）不安全的对象引用，防止）不安全的对象引用，防止XSS等攻击等攻击测试方法：在输入框中输入下列字符，可直接输入脚本来看lHTML标签：l转义字符：&amp(&)；&lt()；&nbsp(空格)；l脚本语言：alert(document.cookie);l特殊字符：/l最小和最大的长度l是否允许空输入l对Grid、Label、Treeview类的输入框未作验证，输入的内容会按照html语法解析出来，要控制脚本注入的语法要素。比如：javascript离不开：“”、“(”、“）”、“;”.在输入或输出时对其进行字符过滤或转义处理2.23）注入式漏洞（）注入式漏洞（SQL注入）注入）l对数据库等进行注入攻击。l例：一个验证用户登陆的页面，如果使用的sql语句为：Select*fromtableAwhereusername+username+andpassword.则在Sql语句后面输入or11就可以不输入任何password进行攻击lSELECTcount(*)FROMusersWHEREusername=aora=aANDpassword=aora=al(资料太多，不显示了此处，借助工具Appscan等吧)2.24）传输中与存储时的密码没有加密）传输中与存储时的密码没有加密l利用ssl来进行加密，在位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信l进入一个SSL站点后，可以看到浏览器出现警告信息，然后地址栏的http变成https（特点确定）l证书认证ll检查数据库中的用户密码、管理者密码等字段是否是以加密方式保存。l存储数据库单独隔离，有备份的数据库，权限唯一2.25）目录遍历）目录遍历l举例：lhttp:/ or postl认证和会话数据不应该作为GET的一部分来发送，应该使用POSTl例：对Grid、Label、Treeview类的输入框未作验证，输入的内容会按照html语法解析出来l可使用TamperIESetup或ScannerHttpAnalyzerFull来判断3.2）隐藏域与）隐藏域与CGI参数参数lBug举例：分析：隐藏域中泄露了重要的信息，有时还可以暴露程序原代码。直接修改CGI参数，就能绕过客户端的验证了。如：只要改变value的值就可能会把程序的原代码显示出来。l如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露l可使用appscan或sss等来检测，检查特殊字符集3.3）不恰当的异常处理）不恰当的异常处理 l分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞，有可能会被攻击者分析出网络环境的结构或配置l通常为其他攻击手段的辅助定位方式l举例：如www.c*，搜索为空时，数据库显示出具体错误位置，可进行sql注入攻击或关键字猜测攻击3.4）不安全的配置管理）不安全的配置管理 分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护l配置所有的安全机制，l关掉所有不使用的服务，l设置角色权限帐号，l使用日志和警报。l手段：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码l例：数据库的帐号是不是默认为“sa”，密码（还有端口号）是不是直接写在配置文件里而没有进行加密。3.5）缓冲区溢出）缓冲区溢出 lWEB服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTPHeader域，或者是其它超长的数据l使用类似于“strcpy()，strcat()”不进行有效位检查的函数，恶意用户编写一小段程序来进一步打开安全缺口，然后将该代码放在缓冲区有效载荷末尾，这样，当发生缓冲区溢出时，返回指针指向恶意代码l用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码。l如apach缓冲区溢出等错误，第三方软件也需检测3.6）拒绝服务）拒绝服务l手段：超长URL，特殊目录，超长HTTPHeader域，畸形HTTPHeader域或者是DOS设备文件l分析：攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序，最终使程序陷入瘫痪。需要做负载均衡来对付。l详细如：死亡之ping、泪滴（Teardorop）、UDP洪水（UDPFlood）、SYN洪水（SYNFlood）、Land攻击、Smurf攻击、Fraggle攻击、畸形消息攻击3.7）日志完整性。可审计性与可恢复性）日志完整性。可审计性与可恢复性 l服务器端日志：检测系统运行时是否会记录完整的日志。l如进行详单查询，检测系统是否会记录相应的操作员、操作时间、系统状态、操作事项、IP地址等l检测对系统关键数据进行增加、修改和删除时，系统是否会记录相应的修改时间、操作人员和修改前的数据记录。工具篇工具篇WatchfireAppscan全面自动测试工具AcunetixWebVulnerability全面自动测试工具ScannerHttpAnalyzerFull加载网页时可判断TamperIESetup提交表单时改造数据l注：上述工具最好安装在虚拟机中，不影响实际机环境注：上述工具最好安装在虚拟机中，不影响实际机环境lAppscan、WebVulnerability需安装.netframework，可能与sniffer冲突lScannerHttpAnalyzerFul与TamperIESetup会影响实际机浏览器平时的功能测试（一）（一）Watchfire Appscanl选择模板，default（含大部分的测试集合）l填入用户名与密码（各页面通用）（二）（二）Acunetix Web Vulnerabilityl选择webscan，填写用户名与密码（三）（三）ScannerHttpAnalyzerFulll嵌套在网页中，对于每个加载项都有加载时间、method、result、type、url等lMethodl主要验证到时是否使用post来进行认证与会话lResultl主要看加载项是否出现http403、404、500等错误（对于错误还要进行归类）（四）（四）TamperIESetupl验证用户名与密码传输（postorget）（五）其他工具（五）其他工具lCompanionjs逆向查看java语言编写的网页源码lNessus扫描服务器（协议与端口）lParos扫描工具lSss系统扫描工具lSds数据库扫描工具lwiktospider、googlehack等lX-scan、流光