WEB应用渗透测试的步骤.docxVIP

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

WEB应用渗透测试的步骤

渗透测试的两大阶段

渗透测试不能测试出所有可能的安全问题,它只是一个特定环境下才合适的WEB应用安全测试技术。OWASP的渗透测试方法是基于墨盒方法的,测试人员在测试前不知道或只知道很有限的关于被测试应用的信息。

渗透测试被分成两大阶段:

■被动模式阶段

在这个阶段,测试人员试图去理解被测应用的逻辑,并且去使用它。可以使用工具去收集信息,例如,可以用HTTP代理工具去观察所有请求与响应。本阶段结束后,测试人员应该理解了应用的所有访问点(如,HTTP报头、参数和COOKIE)。信息收集一节将介绍如何进行被动模式的测试。

■主动模式阶段

这个阶段里,测试人员将利用后述的9大类66种方法主动地去测试。

被动模式阶段

信息收集

安全评估的第一步是收集尽可能多的关于被测应用的信息。信息收集是渗透测试的必要步骤。通常使用公共工具(搜索引擎)、扫描器、发送简单或特别的HTTP请求等来迫使被测应用泄漏信息。

◆使用蜘蛛、机器人和爬虫

目标是浏览和捕获被测应用相关的资源。

◆搜索引擎发现与侦察

类似GOOGLE这样的搜索引擎可以用来发现被测应用中已经被公开的错误页面或WEB应用结构问题。

◆识别应用入口点

枚举被测应用及其攻击面是展开任何攻击的的一个关键性前提。

◆测试WEB应用指纹

应用指纹是信息收集的第一步。知道正在运行的WEB服务器的版本和类型后,测试人员可以确定已知的漏洞和测试过程中的相应攻击方法。获取WEB应用指纹的自动化工具Httprint和在线工具Netcraft。

◆应用发现

应用发现是一项面向驻留在WEB/应用服务器中的WEB应用识别的活动。这种分析很重要,因为没有一个链接直接连接到主要应用的后端。分析可以发现有助于揭示诸如用于管理目的的WEB应用程序的细节。此外,它可以揭示诸如取消删除的,过时的脚本文件,这些文件通常是在测试、开发或维护过程产生的。可能使用到的工具:

1、DNS查询工具,如nslookup,dig等。

2、端口扫描器(如nmap:http://)和漏洞扫描器(如Nessus:http://和wikto:[1])。

从Web服务器或Web应用程序上的文件扩展名能够识别出目标应用程序使用的技术,例如扩展名JSP与ASP。文件扩展名也可能暴露与该应用程序连接的其它系统。可能使用到的工具:Curl、漏洞扫描器、wget。

◆过时的、用于备份的以及未被引用的文件

Web服务器上多余的,可读的和可下载的文件,如过时的,用于备份的和更名的文件,是信息泄漏的一个大源头。验证这些文件的存在是有必要的,因为它们可能包含应用程序和/或数据库的部分源代码,安装路径以及密码。

◆基础结构和应用管理接口

许多应用程序在管理接口使用一个公用路径,从而可能被用来猜测或暴力破解管理密码。此测试目的是找到管理接口,并了解是否可以利用它获取管理员权限。

◆HTTP方法和XST测试

在这个测试中,我们确保Web服务器没有被配置成允许使用具有潜在危险性的HTTP命令(方法),同时确保跨网站追踪攻击(XST)是不可能的。可能用到的工具:NetCat.

业务逻辑测试

认证测试

加密信道证书传输

在这里,测试员会试图了解用户输入web表单中的数据,例如,为了登录到一个网站而输入的数据,是否使用了安全协议传输,以免受到攻击。

用户枚举测试

这项测试的范围是为了验证是否有可能通过与应用的认证机制互动而收集一套有效的用户。这项测试将是有益于\o"暴力测试(尚未撰写)"暴力测试。通过这种测试我们验证是否通过一个有效的用户名就可以找到相应的密码。

可猜解用户帐户猜测(遍历)测试

在这里我们测试是否有默认的用户帐户或可以猜测的用户名/密码组合(遍历测试)\o"OWASP测试指南(尚未撰写)"OWASP测试指南v3.0

暴力测试

当遍历攻击失败,测试者可以尝试使用暴力方法获得验证。暴力测试是不容易完成的测试,因为需要时间并且可能锁定测试者。

认证架构绕过测试

其它被动测试方法企图绕过身份的认识验证模式,因为他们认为并非所有的应用程序的资源都能得到充分的保护。测试者能够在没有认证的情况下访问这些资源。

记住密码和密码重置弱点测试

在这里,我们测试应用如何管理“忘记密码”过程。我们还检查应用是否允许用户在浏览器中存储密码(“记住密码”功能)。

注销和浏览器的缓存管理测试

在这里,我们检查注销和缓存功能得到正确实现。

CAPTCHA测试

\o"CAPTCHA(尚未撰写)"CAPTCHA(“全自动区分计算机和人类的\o"图灵测试(尚未撰写)"图灵测试”

文档评论(0)

158****9567 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档