web安全测试要点总结全解.doc

一、 Web 应用安全威胁分为如下六类： 2 二、 常见针对 Web 应用攻击的十大手段 2 三Rational AppScan功能简介 3 四Web安全体系测试 4 五、 web安全测试的checklist 5 六 7 七Cookie： 10 八 12 九 13 十 14 十 15 Web 应用安全威胁分为如下六类： Authentication（验证） 用来确认某用户、服务或是应用身份的攻击手段。 Authorization（授权） 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。 Client-Side Attacks（客户侧攻击） 用来扰乱或是探测 Web 站点用户的攻击手段。 Command Execution（命令执行） 在 Web 站点上执行远程命令的攻击手段。 Information Disclosure（信息暴露） 用来获取 Web 站点具体系统信息的攻击手段。 Logical Attacks（逻辑性攻击） 用来扰乱或是探测 Web 应用逻辑流程的攻击手段 常见针对 Web 应用攻击的十大手段应用威胁 负面影响 后果 跨网站脚本攻击 标识盗窃，敏感数据丢失… 黑客可以模拟合法用户，控制其帐户。 注入攻击 通过构造查询对数据库、LDAP 和其他系统进行非法查询。 黑客可以访问后端数据库信息，修改、盗窃。 恶意文件执行 在服务器上执行 Shell 命令 Execute，获取控制权。 被修改的站点将所有交易传送给黑客 不安全对象引用 黑客访问敏感文件和资源 Web 应用返回敏感文件内容 伪造跨站点请求 黑客调用 Blind 动作，模拟合法用户 黑客发起 Blind 请求，要求进行转帐 信息泻露和不正确的错误处理 黑客得到详细系统信息 恶意的系统检测可能有助于更深入的攻击 被破坏的认证和 Session 管理 Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。 不安全的木马存储 过于简单的加密技术导致黑客破解编密码 隐秘信息被黑客解密盗窃 不安全的通讯 敏感信息在不安全通道中以非加密方式传送 黑客可以通过嗅探器嗅探敏感信息，模拟合法用户。 URL 访问限制失效 黑客可以访问非授权的资源连接 黑客可以强行访问一些登陆网页、历史网页。 Rational AppScan功能简介 Rational AppScan 同时提供了很多高级功能，帮助客户对复杂应用进行检测。支持的扫描配置有： Starting URL：起始 URL，制定被测应用的起始地址 Custom Error Pages：制定错误网页提高测试效率 Session IDs：管理测试过程中的 session Automatic Server Detection：自动检测应用所在的应用服务器、web server、操作系统 Exclusion and Inclusion：制定哪些 Web 被扫描或者被排除，哪些文件类型不被扫描 Scan Limits：其他高级扫描限制，例如扫描次数限制等 Advanced：扫描的方式，是宽度扫描还是深度扫描 Communication Settings：对扫描中的延时、线程数量进行配置 Proxy Settings：代理设置vLogin/logout：对被测应用的登陆进行设置，可以采用录制回放的方式、也可以使用自动登陆的方式 configure a Test Policy: 配置测试测量，即想测试哪些漏洞。 Web安全体系测试 一个完整的Web安全体系测试可以从部署与基础结构，输入验证，身份验证，授权，配置管理，敏感数据，会话管理，加密，参数操作，异常管理，审核和日志记录等几个方面入手。 数据加密：某些数据需要进行信息加密和过滤后才能进行数据传输，例如用户信用卡信 息、用户登陆密码信息等。此时需要进行相应的其他操作，如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多，越来越复杂，但一般数据加密的过程时可逆的，也就是说能进行加密，同时需要能进行解密！ ??????注：对登陆帐户和密码进行加密，可在后台数据库查看是否进行了加密。 登录： 一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名 和匹配的密码进行校验，以阻止非法用户登录。在进行登陆测试的时候，需要考虑输入的密码是否对大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录，哪些页面或者文件需要登录后才能访问/下载等。? 超时限制：WEB应用系统需要有是否超时的限制，当用户长时间不作任何操作的时候， 需要重新登录才能使用其功能。 SSL： 越来越多的站点使用SSL安全协议进行传送。S