WEB安全测试分类及防范测试方法.docxVIP

WEB平安测试分类及防范测试方法

TOC\o1-3\h\z\u1Web应用程序布署环境测试 2

1.1请求引发漏洞的测试 2

1.2操作系统目录平安性及Web应用程序布署环境目录遍历问题测试 2

2应用程序测试 3

2.1SQL注入漏洞测试 3

2.1.1SQL注入漏洞攻击实现原理 3

2.1.2SQL注入漏洞防范措施 4

2.1.3SQL注入漏洞检测方法 5

2.2表单漏洞测试 6

2.2.1表单漏洞实现原理 6

2.2.2表单漏洞防范措施 6

2.2.3表单漏洞检测方法 6

2.3Cookie欺骗漏洞测试 8

2.3.1Cookie欺骗实现原理 8

2.3.2Cookie欺骗防范措施 8

2.3.3Cookie欺骗监测方法 9

2.4用户身份验证测试 9

2.4.1用户身份验证漏洞防范措施 9

2.4.2用户身份验证检测方法 9

2.5文件操作漏洞测试 9

2.5.1文件操作漏洞实现原理 9

2.5.2文件操作漏洞防范措施 10

2.5.3文件操作漏洞检测方法 10

2.6Session测试 11

2.6.1客户端对效劳器端的欺骗攻击 11

2.6.2直接对效劳器端的欺骗攻击 11

2.6.3Session漏洞检测方法 12

2.7跨网站脚本(XSS)漏洞测试 13

2.7.1跨网站脚本〔XSS〕漏洞实现原理 13

2.7.2跨网站脚本〔XSS〕漏洞防范措施 13

2.7.3跨网站脚本〔XSS〕漏洞测试方法 14

2.8命令注射漏洞测试 14

2.9日志文件测试 14

2.10访问控制策略测试 14

2.10.1访问控制策略测试方法 14

3数据库问题测试 15

3.1数据库名称和存放位置平安检测 15

3.2数据库本身的平安检测 15

3.3数据使用时的一致性和完整性测试 15

4容错测试 15

4.1容错方案及方案一致性测试 16

4.2接口容错测试 16

4.3压力测试 16

1Web应用程序布署环境测试

用来架构Web网站的UNIX、LINUX、WINDOWS等效劳器端操作系统和效劳器软件都可能存在漏洞〔如前不久被发现的LINUX系统内核漏洞〕，这些漏洞都会对Web应用程序造成平安威胁。因此，在布署Web应用程序前，应对Web应用程序的布署环境进行严格的测试，检查一切的漏洞，发现新的漏洞，将应用程序环境带来的平安威胁降底到最低程度。

1.1请求引发漏洞的测试

超长URL的请求，特殊格式字符的请求，某些不存在文件的请求，COMInternetServices(CIS)–RPCover漏洞，从而引发拒绝效劳，源代码显示，站点物理路径泄露，执行任意命令及命令注入等平安问题。因此，对非常规URL的请求要做全面的测试，以发现这方面的漏洞。测试工作以人工方式为主，并配以Tripwire和AIDE的完整性检查工具检查系统文件，对于发现的漏洞，可采取关闭所有不必要的效劳和安装系统补丁加固系统。另外要保持对最新补丁和平安公告的追踪，在实验环境进行测试后正式安装在布署Web应用程序的主机上。

1.2操作系统目录平安性及Web应用程序布署环境目录遍历问题测试

目录权限和目录平安性直接影响着Web的平安性。测试中要检查Web应用程序布署环境的目录权限和平安性，不给恶意用户任何可用的权限。目录遍历可能导致用户从客户端

看到或下载、删除Web效劳器文件。因此，要测试Web应用程序及布署环境是否存在目录遍历问题；假设存在该漏洞，可通过在各级目录中存放默认文档或及时升级系统来防止。

1.3系统中危险组件的测试

系统中危险组件的存在，会给恶意用户留下非常危险的“后门”。如恶意用户可利用Windows系统中存在的FileSystemObject组件篡改、下载或删除效劳器中的任何文件。因此，假设系统中需要使用这些组件，可将这些组件更名；否那么将其删除。

1.4TCP端口测试

开放非必要的端口，会给Web应用程序带来平安威胁。因此，在布署Web应用程序前，要用端口扫描软件对布署环境进行TCP端口测试，禁止UDP，只开启必要的TCP端口。另

外，在系统运行过程中要不断测试，在效劳器端使用lsof工具(ForUnix)或者Inzider工具(Forwind