web安全性测试课件.ppt

* 基本概念 什么是安全测试 什么是Web应用 Web应用安全测试 * 什么是安全测试？ 我们遵循普通用户所采取的方法来测试应用的功能。如果我们不确定与其行为是什么，通常也会通过询问别人、阅读需求或者使用我们的直觉的方法知道。负面测试遵循一些从正面测试中自然而直接地获取的原则。我们知道银行的存款不应该是负值；密码不应该是1MB的JPEG图片；电话号码中不应该包含字母。随着我们对应用进行并建立起正面的功能测试，建立反面测试就自然而然成为下一步。这与安全测试有什么关系？ 安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，应用仍然能够充分地满足他的需求。 * 什么是Web应用 Web应用具有各种各样的形式和规模。他们用各种语言编写，运行在各种操作系统上，已各种方式运行。每种Web应用的核心在于，它的所有功能都是使用http进行通信的，而它的结果通常是采用html格式。输入是使用get、post及类似方法进行通信的。 Web应用是一切使用http进行通信的软件。 注意，要成为Web应用，必须执行某种业务逻辑，输出中必须存在某种可能的变化，必须做出一些判断，否则我们实际上并不是在测试软件。 * Web应用安全测试 通过功能测试，我们设法向用户证明这个软件可以像宣传的那样正常工作。通过安全测试，我们设法使每个人确信，即使面临恶意输入，它仍然可以想宣传的那样正常工作。我们设法模拟真实的攻击和真实的漏洞，同时用这些模拟与我们有限的测试融为一体。 因而，Web安全测试就是使用多种工具，包括手动工具和自动工具，来模拟和激发我们的Web应用活动。 * 目标与对象 目标 我们的目标是找出源代码本身的缺陷，生成与整体测试方案融为一体的、可重复的、可靠的测试，不过它们是用于处理Web应用安全的。 对象 我们的测试对象是由你编写，由你操作或者至少由你测试的软件——源代码，业务逻辑。我们不考虑防火墙、路由器或者IT安全软件的作用。 * 用于安全测试的工具介绍 Firebug 对于测试web应用而言，firebug是最有用的firefox扩展。Firebug是web开发和测试工具中的“瑞士军刀”。它允许你跟踪和调整每一行html、javascript和文档对象模型。它会报告ajax请求，告诉你载入页面需要的时间并允许你实时编辑网页。但是他无法将更改的内容保存至服务器。 OWASP的WebScarab 它是用于测试web应用安全的一款流行的web代理。Web代理对于截获浏览器和服务器之间的请求和响应来说非常重要。它的安装需要最新版的java运行时环境。 * Perl 他内部集成了正则表达式的功能，以及巨大的第三方代码库CPAN。被认为是编程语言的胶带。非常有助于安全测试用例的自动化。AcitvePerl带有Perl Manager工具，供浏览、下载和安装软件包。 CAL9000 CAL9000将许多安全工具集成在一个软件包中，是典型的黑客工具。有助于确定各种类型的测试和对这些测试的执行。它的安全是无法保证的，如果使用不当，它会是非常危险的工具。 * 用于安全测试的工具介绍 ViewState Decoder 使用ASP.NET编写的Web应用回事每个页面都包含一个称作ViewState的隐藏变量。为了给本来无状态的HTTP请求增加状态，这个变量维护者请求之间的数据。ViewState Decoder是Windows可执行文件，可检查开发人员的工作站。 cURL 它是一个命令行程序，支持许多Web协议组件。可以在没有浏览器的时候当做浏览器使用；市现率列私语浏览器的功能，但是可以从任何普通的shell中调用它。更好地处理cookie、认证和web协议。 * 用于安全测试的工具介绍 Pornzilla 它是一套有用的Firefox小书签和扩展，提供了大量方便的有助于web安全测试的工具。如RefSpoof修改HTTP Referer信息，或许能绕过不安全的登录机制；Digger是一个目录遍历工具；Increment和Decrement篡改url参数。 Cygwin 它使你能够在windows中使用linux环境，也是安装其他工具的必要前提。它缺乏与分区的、双启动环境或虚拟机有关的保护措施，可以访问所有文件和文件夹，可以修改这些文件，而且操作可能是不可取消的。 * 用于安全测试的工具介绍 Nikto 2 它是使用最广泛的、开源的、可免费获取的web漏洞扫描程序之一。实际上是一个Perl脚本，需要在cygwin中运行。它可以作为已经编写好的自动化脚本，但是它可能无法发现大多数缺陷，就算发现了问题也可能不是问题，需要对其结果进行研究并判断找到的东西是否有用。 Apache http server 是一个开源的web服务器，一些高级的跨站式脚本漏洞攻击程序以及