Web应用安全高级测试汇总.pdf

WEB应用安全和数据库安全的领航者！ 应用安全高级测试 吴卓群 rainman 杭州安恒信息技术有限公司 • 应用安全测试介绍 • 测试工具介绍 • 常规应用漏洞测试 • 业务逻辑测试 • 应用防火墙绕过技术 应用安全测试介绍 漏洞测试方式 – 安全性测试的方式太多，每种方式都有自己的优点和缺 点。没有一种方式是绝对正确的，也没有一种方式能够 揭示一个给定目标的所有可能漏洞。在较高层次上，有 三种方式用来发现漏洞：白盒测试、黑盒测试和灰盒测 试。 应用安全测试介绍 白盒测试 – 白盒测试也称结构测试或逻辑驱动测试，它是按照程序 内部的结构测试程序，通过测试来检测产品内部动作是 否按照设计规格说明书的规定正常进行，检验程序中的 每条通路是否都能按预定要求正确工作。这一方法是把 测试对象看作一个打开的盒子，测试人员依据程序内部 逻辑结构相关信息，设计或选择测试用例，对程序所有 逻辑路径进行测试，通过在不同点检查程序的状态，确 定实际的状态是否与预期的状态一致。 应用安全测试介绍 黑盒测试 – 黑盒测试也称功能测试，它是通过测试来检测每个功能 是否都能正常使用。在测试中，把程序看作一个不能打 开的黑盒子，在完全不考虑程序内部结构和内部特性的 情况下，在程序接口进行测试，它只检查程序功能是否 按照需求规格说明书的规定正常使用，程序是否能适当 地接收输入数据而产生正确的输出信息。黑盒测试着眼 于程序外部结构，不考虑内部逻辑结构，主要针对软件 界面和软件功能进行测试。 应用安全测试介绍 灰盒测试 – 灰盒测试，是介于白盒测试与黑盒测试之间的，可以这 样理解，灰盒测试关注输出对于输入的正确性，同时也 关注内部表现，但这种关注不象白盒那样详细、完整， 只是通过一些表征性的现象、事件、标志来判断内部的 运行状态，有时候输出是正确的，但内部其实已经错误 了，这种情况非常多，如果每次都通过白盒测试来操作 ，效率会很低，因此需要采取这样的一种灰盒的方法。 应用安全测试介绍 我们使用的测试方法 – 黑盒测试 fuzzing模糊测试 权限攻击 流程攻击 – 灰盒测试 对关键部分代码进行审计 协议的加密解密 关键数据的解密 – 白盒测试 自动化工具审计 代码走读，发现深层次漏洞 应用安全测试介绍 • 更关注黑盒测试 – 看清数据请求的本质 – 识别所有输入及输出 – 使用开发者的思路考虑问题 – 不断假设并否定 • 应用安全简介绍 • 测试工具介绍 • 常规应用漏洞测试 • 业务逻辑测试 • 应用防火墙绕过技术 • 开源的测试利器Zed Attack Proxy 测试工具介绍 • 安全测试神器BurpSuite • 快速辅助测试工具Hackbar • 应用安全测试介绍 • 测试工具介绍 • 常规应用漏洞测试 • 业务逻辑测试 • 应用防火墙绕过技术 注入- Injection • SQL注入(包括MSSQL MySQL Oracle等) • SQL注入漏洞，是依靠存在弱点的WEB脚 本代码，来实现通过浏览器执行任意SQL 语句，从