web黑盒安全測试经验分享.docx

黑盒Web安全测试经验分享引言百度开放平台是开放数据的分享暨对接平台，通过该平台，广大站长和开发者可以提交数据或资源，并在搜索结果中直接展现。平台基于LAMP基础架构搭建，使用Yii框架进行开发。平台是一个典型的web应用，测试时需有效结合测试技术与web系统自身的特点来进行用例设计等工作。安全测试是web系统测试流程中必不可少的一环，在开放平台的日常测试工作以及线上运维经验中，已经切身体会到了安全隐患对于平台运作可造成的严重影响，因此在平台项目中，都会涉及到安全测试技术的使用，也积累了不少黑盒安全测试的经验。以下是在所见所得等几个项目中安全组和平台测试人员发现问题的比例和问题级别分布图：上图中可以看出，平台测试人员对于sql注入及XSS等常见的安全问题的敏感度是可以cover目前平台中的功能安全验证的，而对代码级别的安全问题review则还不够。下文中则主要对如何进行黑盒安全测试进行介绍，以达到能准确并全面的找到安全问题的目的。本文的篇章结构如下：首先会简单说明web安全测试以及考虑安全测试的各种角度，第二会简单介绍在项目前期如何进行代码级别的安全隐患提前预防，然后侧重介绍web应用级别的黑盒安全测试经验，最后说明现有可用的工具支持。Web安全测试简介完整的web安全测试需要从各种角度去入手考虑，比如：系统部署与基础结构、输入验证、身份验证与权限授予、敏感数据获取、异常管理等等方面。各个角度所关注的安全问题各有侧重，如部署与基础架构方面会考虑部署是否包括内部防火墙、网络是否能进行安全的通信，而输入验证就会考虑该输入点的边界值是什么、是否能验证web输入的格式正确与否等。本文中介绍应用级的web安全测试方法，重点关注web系统本身的程序设计以及代码实现中存在的安全隐患。主要测试范围包括：表单提交：系统是否对有效、无效输入分别有正确验证和处理，关注特殊字符、恶意攻击类输入是否能被系统过滤。Session控制：平台需要是否有对session超时的限制，用户登录一段时间无任何页面操作后，是否需要重新登录才能正常访问网站。操作留痕：为了保证web站点的安全性，日志文件很重要，需要对每个用户的关键操作进行记录，方便问题追查。在目前的 WEB 安全测试方法中，一般是模拟黑客进行攻击的过程来对系统进行测试。而安全测试也分为白盒和黑盒，代码审核就是一种通过研究黑客攻击的代码漏洞而设计的白盒测试方法。平台的测试人员在项目提前介入阶段进行代码初步review，根据可能出现漏洞的代码特征进行审核，提前判断问题所在并予以解决。本文中不做过多介绍，以一个平台实际测试案例来描述如何进行白盒测试。这里举一个简单的例子说明代码审核如何进行，代码片段如下：$user_id = $_GET[id];$sql = “select?*?from?aladdin_users?where?user_id =”.$user_id;代码处理前台传入的参数时，没有安全方面的考虑，未对用户的参数id进行取整、特殊字符过滤等安全操作，导致程序有安全隐患。而针对这一点进行攻击的流程可参考如下：恶意用户在操作时，可以在url中伪造id=1’，这样后台拼装sql并执行时，就会导致执行失败并显示错误信息，这些错误提示中可能会暴露数据库的类型、数据表格字段等不该被用户知晓的信息，给进一步恶意攻击提供了便利。以上例子中，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。在代码进行安全审核时，需要关注后台在处理用户输入参数时，是否有进行必要的安全处理，包括（Shell命令处理、数据库字符处理、特殊字符处理等）。比如php中可调用mysql_escape_string函数进行数据库字符过滤。WEB安全测试人员需要对各种漏洞的代码特征进行学习，深入研究漏洞会对系统带来的安全隐患，从代码审核时，也就是提前介入阶段发现安全问题，减少测试迭代周期，并且杜绝安全问题暴露到线上。黑盒web安全测试在对web系统的日常功能测试时，安全部分以黑盒为主，下面介绍一下web平台测试中主要需要关注的各类型安全问题以及测试方法。XSS跨站脚本攻击XSS又叫CSS，英文缩写为Cross Site Script，中文意思为跨站脚本攻击，具体内容指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。为了和页面样式的CSS做区分，命名为XSS。XSS漏洞会导致的后果是说让不支持富文本的区域支持了富文本的执行，简单说在编辑blog内容时，文本部分不支持富文本，但由于对输入没有做处理，导致可以在文本中嵌入变颜色、加粗等HTML代码，当然攻击者可以嵌入恶意javasc