WEB应用渗透测试的步骤.docxVIP

WEB应用渗透测试的步骤

渗透测试的两大阶段

渗透测试不能测试出所有可能的安全问题，它只是一个特定环境下才合适的WEB应用安全测试技术。OWASP的渗透测试方法是基于墨盒方法的，测试人员在测试前不知道或只知道很有限的关于被测试应用的信息。

渗透测试被分成两大阶段：

■被动模式阶段

在这个阶段，测试人员试图去理解被测应用的逻辑，并且去使用它。可以使用工具去收集信息，例如，可以用HTTP代理工具去观察所有请求与响应。本阶段结束后，测试人员应该理解了应用的所有访问点（如，HTTP报头、参数和COOKIE）。信息收集一节将介绍如何进行被动模式的测试。

■主动模式阶段

这个阶段里，测试人员将利用后述的9大类66种方法主动地去测试。

被动模式阶段

信息收集

安全评估的第一步是收集尽可能多的关于被测应用的信息。信息收集是渗透测试的必要步骤。通常使用公共工具（搜索引擎）、扫描器、发送简单或特别的HTTP请求等来迫使被测应用泄漏信息。

◆使用蜘蛛、机器人和爬虫

目标是浏览和捕获被测应用相关的资源。

◆搜索引擎发现与侦察

类似GOOGLE这样的搜索引擎可以用来发现被测应用中已经被公开的错误页面或WEB应用结构问题。

◆识别应用入口点

枚举被测应用及其攻击面是展开任何攻击的的一个关键性前提。

◆测试WEB应用指纹

应用指纹是信息收集的第一步。知道正在运行的WEB服务器的版本和类型后，测试人员可以确定已知的漏洞和测试过程中的相应攻击方法。获取WEB应用指纹的自动化工具Httprint和在线工具Netcraft。

◆应用发现

应用发现是一项面向驻留在WEB/应用服务器中的WEB应用识别的活动。这种分析很重要，因为没有一个链接直接连接到主要应用的后端。分析可以发现有助于揭示诸如用于管理目的的WEB应用程序的细节。此外，它可以揭示诸如取消删除的，过时的脚本文件，这些文件通常是在测试、开发或维护过程产生的。可能使用到的工具：

1、DNS查询工具，如nslookup，dig等。

2、端口扫描器（如nmap：http：//）和漏洞扫描器（如Nessus：http：//和wikto：[1]）。

从Web服务器或Web应用程序上的文件扩展名能够识别出目标应用程序使用的技术，例如扩展名JSP与ASP。文件扩展名也可能暴露与该应用程序连接的其它系统。可能使用到的工具：Curl、漏洞扫描器、wget。

◆过时的、用于备份的以及未被引用的文件

Web服务器上多余的，可读的和可下载的文件，如过时的，用于备份的和更名的文件，是信息泄漏的一个大源头。验证这些文件的存在是有必要的，因为它们可能包含应用程序和/或数据库的部分源代码，安装路径以及密码。

◆基础结构和应用管理接口

许多应用程序在管理接口使用一个公用路径，从而可能被用来猜测或暴力破解管理密码。此测试目的是找到管理接口，并了解是否可以利用它获取管理员权限。

◆HTTP方法和XST测试

在这个测试中，我们确保Web服务器没有被配置成允许使用具有潜在危险性的HTTP命令（方法），同时确保跨网站追踪攻击（XST）是不可能的。可能用到的工具：NetCat.

业务逻辑测试

认证测试

加密信道证书传输

在这里，测试员会试图了解用户输入web表单中的数据，例如，为了登录到一个网站而输入的数据，是否使用了安全协议传输，以免受到攻击。

用户枚举测试

这项测试的范围是为了验证是否有可能通过与应用的认证机制互动而收集一套有效的用户。这项测试将是有益于\o暴力测试（尚未撰写）暴力测试。通过这种测试我们验证是否通过一个有效的用户名就可以找到相应的密码。

可猜解用户帐户猜测（遍历）测试

在这里我们测试是否有默认的用户帐户或可以猜测的用户名/密码组合（遍历测试）\oOWASP测试指南（尚未撰写）OWASP测试指南v3.0

暴力测试

当遍历攻击失败，测试者可以尝试使用暴力方法获得验证。暴力测试是不容易完成的测试，因为需要时间并且可能锁定测试者。

认证架构绕过测试

其它被动测试方法企图绕过身份的认识验证模式，因为他们认为并非所有的应用程序的资源都能得到充分的保护。测试者能够在没有认证的情况下访问这些资源。

记住密码和密码重置弱点测试

在这里，我们测试应用如何管理“忘记密码”过程。我们还检查应用是否允许用户在浏览器中存储密码（“记住密码”功能）。

注销和浏览器的缓存管理测试

在这里，我们检查注销和缓存功能得到正确实现。

CAPTCHA测试

\oCAPTCHA（尚未撰写）CAPTCHA（“全自动区分计算机和人类的\o图灵测试（尚未撰写）图灵测试”）是一种许多We