WEB安全测试分类和防范测试方法.doc

. . . WEB安全测试分类及防范测试方法 TOC \o 1-3 \h \z \u 1 Web 应用程序布署环境测试 2 1.1HTTP 请求引发漏洞的测试 2 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 2.1.1 SQL注入漏洞攻击实现原理 3 2.1.2 SQL注入漏洞防范措施 4 2.1.3 SQL注入漏洞检测方法 5 2.2 表单漏洞测试 6 2.2.1 表单漏洞实现原理 6 2.2.2 表单漏洞防范措施 6 2.2.3 表单漏洞检测方法 6 2.3 Cookie欺骗漏洞测试 8 2.3.1 Cookie欺骗实现原理 8 2.3.2 Cookie欺骗防范措施 8 2.3.3 Cookie欺骗监测方法 9 2.4 用户身份验证测试 9 2.4.1 用户身份验证漏洞防范措施 9 2.4.2 用户身份验证检测方法 9 2.5 文件操作漏洞测试 9 2.5.1 文件操作漏洞实现原理 9 2.5.2 文件操作漏洞防范措施 10 2.5.3 文件操作漏洞检测方法 10 2.6 Session 测试 11 2.6.1 客户端对服务器端的欺骗攻击 11 2.6.2直接对服务器端的欺骗攻击 11 2.6.3 Session漏洞检测方法 12 2.7 跨网站脚本(XSS)漏洞测试 13 2.7.1 跨网站脚本（XSS）漏洞实现原理 13 2.7.2 跨网站脚本（XSS）漏洞防范措施 13 2.7.3 跨网站脚本（XSS）漏洞测试方法 14 2.8 命令注射漏洞测试 14 2.9 日志文件测试 14 2.10 访问控制策略测试 14 2.10.1 访问控制策略测试方法 14 3 数据库问题测试 15 3.1 数据库名称和存放位置安全检测 15 3.2 数据库本身的安全检测 15 3.3 数据使用时的一致性和完整性测试 15 4 容错测试 15 4.1 容错方案及方案一致性测试 16 4.2 接口容错测试 16 4.3 压力测试 16  1 Web 应用程序布署环境测试 用来架构Web 网站的UNIX、LINUX、WINDOWS 等服务器端操作系统和服务器软件都可能存在漏洞（如前不久被发现的LINUX 系统内核漏洞），这些漏洞都会对Web 应用程序造成安全威胁。因此，在布署Web 应用程序前，应对Web 应用程序的布署环境进行严格的测试，检查一切已知的漏洞，发现新的漏洞，将应用程序环境带来的安全威胁降底到最低程度。 1.1HTTP 请求引发漏洞的测试 超长URL 的HTTP 请求，特殊格式字符的HTTP 请求，某些不存在文件的HTTP 请求，COM Internet Services (CIS)– RPC over HTTP 漏洞，从而引发拒绝服务，源代码显示，站点物理路径泄露，执行任意命令及命令注入等安全问题。因此，对非常规URL 的HTTP 请求要做全面的测试，以发现这方面的漏洞。测试工作以人工方式为主，并配以Tripwire和AIDE 的完整性检查工具检查系统文件，对于发现的漏洞，可采取关闭所有不必要的服务和安装系统补丁加固系统。另外要保持对最新补丁和安全公告的追踪，在实验环境进行测试后正式安装在布署Web 应用程序的主机上。 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 目录权限和目录安全性直接影响着Web 的安全性。测试中要检查Web 应用程序布署环境的目录权限和安全性，不给恶意用户任何可用的权限。目录遍历可能导致用户从客户端 看到或下载、删除Web 服务器文件。因此，要测试Web 应用程序及布署环境是否存在目录遍历问题；若存在该漏洞，可通过在各级目录中存放默认文档或及时升级系统来避免。 1.3 系统中危险组件的测试 系统中危险组件的存在，会给恶意用户留下非常危险的“ 后门”。如恶意用户可利用Windows 系统中存在的FileSystemObject 组件篡改、下载或删除服务器中的任何文件。因此，若系统中需要使用这些组件，可将这些组件更名；否则将其删除。 1.4 TCP 端口测试 开放非必要的端口，会给Web 应用程序带来安全威胁。因此，在布署Web 应用程序前，要用端口扫描软件对布署环境进行TCP 端口测试，禁止UDP，只开启必要的TCP 端口。另 外