Web安全测试知多少.docx

Web安全测试知多少

由安博测试空间技术中心/提供

数据验证流程：一个好的web系统应该在IE端，server端，DB端都应该进行验证。但有不少程序偷工减料，script验证完了，就不管了；appserver对数据长度和类型的验证与dbserver的不一样，这些都会引发问题。有兴趣的可参看一下script代码，设计一些case，这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的script代码，然后提交了一个form，引发了一个系统的重大漏洞后门

数据验证类型：如果webserver端提交sql语句时，不对提交的sql语句验证，那么一个黑客就可暗喜了。他可将提交的sql语句分割，后面加一个deleteall或dropdatabase的之类语句，能将你的数据库内容删个精光！我这一招还没实验在internet网站上，不知这样的网站有没有，有多少个。反正我负责的那个web系统曾经发现这样的问题。

网络加密，数据库加密不用说了吧。

WEB软件最常碰到的BUG为：

1、SQLINJETION

2、对文件操作相关的模块的漏洞

3、COOKIES的欺骗

4、本地提交的漏洞

●SQLINJETION 的测试方法原理：

如有一新闻管理系统用文件news.asp再用参数读取数据库里的新闻譬如

/news.asp?id=1这一类网站程序如果直接用

rs.openselect*fromnewswhereid=cstr(request(id)),conn,1,1

数据库进行查询的话即上面的URL所读取的文章是这样读取的

select*fromnewswhereid=1

懂得SQL语言的就知道这条语言的意思是在news读取id为1的文章内容。

但是在SQLSERVER里select是支持子查询和多句执行的。如果这样提交URL的话

/news.asp?id=1and1=(selectcount(*)fromadminwhereleft(name,1)=a)

SQL语句就变成了

select*newswhereid=1and1=(selectcount(*)fromadminwhereleft(name,1)=a)

意思是admin表里如果存在字段字为name里左边第一个字符是a的就查询news表里id为1的内容，news表里id为1是有内容的，从逻辑上的角度来说就是1P。只要P为真，表达式就为真，页面会返回一个正确的页面。如果为假页面就会报错或者会提示该id的文章不存在。黑客利用这点就可以慢慢得试用后台管理员的用户和密码。

测试：

测试存不存在SQLINJETION很简单如果参数为整数型的就在URL上分别提交/news.asp?id=1and1=1 和/news.asp?id=1and1=2

如果第一次返回正确内容，第二次返回不同页面或者不同容内的话表明news.asp文件存在SQLINJETION。如何利用就不多说了，毕竟我们都不是为了入侵。

对文件操作相关的模块的漏洞在测试原理：

如一上传文件功能的程序upload.asp如果程序员只注重其功能上的需求没有考虑到用户不按常规操作的问题。如上传一个网页木马程序上去，整个网站甚至整个服务器的架构和源码都暴露而且还有一定的权限。

测试：

试上传asp,php,jsp,cgi等网页的文件看是否成功。补充：

还有像 /download/filespath.asp?path=../abc.zip下载功能的软件如果/download/filespath.asp?path=../conn.asp

很可能下载到这些asp的源码数据库位置及用户密码都可能暴露。其它还有很多，就不一一举例了。

COOKIES的欺骗原理：

COOKIES是WEB程序的重要部分，COOKIES有利有弊。利在于不太占用服务器的资源，弊在于放在客户端非常容易被人修改加以利用。所以一般论坛前台登陆用COOKIES后台是用SESSION，因为前台登陆比较频繁，用SESSION效率很低。但如论坛程序管理员用户在前台也有一定的权限，如果对COOKIES验证不严的话，严重影响了WEB程序的正常工作。如前期的LEADBBS，只有后台对COOKIES验证严格，前台的位置只是从COOKIES读取用户的ID，对用户是否合法根本没有验证。

测试：

推荐使用MYBROWER浏览器，可即时显示及修改COOKIES。尝试一下修改里面的对应位置。

本