iAudit_Web应用入侵审计系统_测试方案.docVIP

iAudit Web应用入侵审计系统 测试方案 概述 概况 iAudit Web应用入侵审计系统（以下简称iAudit）对Web站点进行内嵌式监控，记录可疑的HTTP请求数据，并将数据传给监控中心进行集中处理，从而可以分析和统计针对Web站点的各种应用层扫描和攻击。 部署 测试环境由Web服务器、监管服务器和一台客户端组成，三者之间通过TCP/IP网络连接。 Web服务器。即模拟被监管服务器，安装有iAudit监控探头。系统为Windows 2003 / IIS6.0。 监管服务器。安装有iAudit监控中心，系统为Windows 2003 / IIS6.0 / PHP / Mysql。 客户端。系统为任意版本Windows。客户端扮演两个角色：发起攻击的黑客和使用系统的监管者。 测试工具 使用NetCat工具来发出特定的http请求数据。NetCat：简称nc，又称“网络瑞士军刀”。NetCat是最经典的网络工具之一，它能够建立并接受TCP连接，并可在这些连接上读写数据，直到连接关闭为止。NetCat在几乎所有操作系统上都有相应的运行版本，适合用于网络测试工具和黑客工具。 测试流程 建立环境 搭建环境，确认正常连接。清空日志数据，使用默认的管理用户登录。 入侵访问捕捉测试 按照入侵访问测试用例，依次用NetCat向Web服务发出含有应用扫描和攻击行为的HTTP请求数据，然后查看监管中心，是否有关于此次入侵的记录。 系统功能测试 就入侵访问捕捉测试中的数据进行系统的各项操作。然后，导入外来日志数据进行操作。 其他测试 对自身形态和安全传输等进行测试。 入侵访问捕捉测试 可以记录以下入侵行为（带有应用扫描和攻击行为）的可疑HTTP访问： 编号 信息 描述 10101 Invalid HTTP request line 非法请求行。 10109 Unicode full/half width abuse attack attempt Unicode编码滥用。 10110 Proxy access attempt 代理服务请求。 10301 Method is not allowed by policy 不允许的请求方法。 10304 HTTP header is restricted by policy 不允许的请求头。 10305 URL file extension is not allowed by policy 不允许的文件类型。 10306 URL file name is not allowed by policy 不允许的文件名。 10307 URL start path is not allowed by policy 不允许的开始路径。 11101 Blind SQL Injection Attack - 1 SQL盲注攻击1型。 11102 Blind SQL Injection Attack - 2 SQL盲注攻击2型。 11103 SQL Injection Attack - 1 SQL注入攻击1型。 11104 SQL Injection Attack - 2 SQL注入攻击2型。 11105 SQL Injection Attack - 3 SQL注入攻击3型。 11106 SQL Injection Attack - 4 SQL注入攻击4型。 11201 System Command Injection - 1 系统命令注入1型。 11202 System Command Injection - 2 系统命令注入2型。 11203 System Command Injection - 3 系统命令注入3型。 11301 Remote File Access Attempt 企图存取远程文件。 11302 Injection of Undocumented ColdFusion Tags 非文档coldfusion标记注入。 11303 LDAP Injection Attack LDAP注入攻击。 11304 SSI injection Attack SSI注入攻击。 11305 PHP Injection Attack PHP注入攻击。 11306 Email Injection Attack Email注入攻击。 12101 Cross-site Scripting (XSS) Attack 跨站脚本攻击。 12102 Persistent Universal PDF XSS attack PDF跨站攻击。 16101 Session Fixation 会话定置攻击。 16102 System Command Access 企图存取系统命令。