最近看了一些有关安全测试的资料 ,发现在我们项目日常测试中,确实已经将一些安全测试的方法融入,但是仍有很多遗漏的地方,也许有专门的安全测试人员协助我们进行安全测试,但是如果在初期,我们就能将不安全因素找出来,这样对提早发现潜在风险是很有帮助的。以下是一些常用的、我们可以通过简单的功能测试来进行的一些安全测试的操作。
1、用户权限测试
(1) 用户权限控制
1) 用户权限控制主要是对一些有权限控制的功能进行验证
2) 用户A才能进行的操作,B是否能够进行操作(可通过窜session,将在下面介绍)
3)只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)
(2) 页面权限控制
1) 必须有登陆权限的页面,是否能够在不登陆情况下进行访问
2)必须经过A——B——C的页面,是否能够直接由A——C?
2、URL安全测试
(1)适用范围: URL中含有参数,也就是通过GET方式传递的HTTP请求
(2)什么叫GET方式?
HTTP 定义了与服务器交互的不同方法,最基本的方法是 GET 和 POST。
GET方式在客户端通过URL提交数据,数据在URL中可以看到,例如在日常中订购服务:
http://pay.daily.taobao.net/mysub/subdeal/order_sub_deal.htm?servId=2
POST方式,数据放置在HTML HEADER内提交,数据在URL中看不到
GET只能传输比较少的数据,安全性较低,POST传输数据较多,安全性也比GET高
(3)测试关注点:
1) URL 参数检查:
A: 对URL中参数信息检查是否正确
如:URL中的订单号、金额允许显示出来的话,需要验证其是否正确
B: 对于一些重要的参数信息,不应该在URL中显示出来
如:用户登陆时登录名、密码是否被显示出来了 ,
2) URL参数值篡改
修改URL中的数据,看程序是否能识别:
如:对于以下URL,修改其中planId,看是程序是否可以识别:
http://pay.daily.taobao.net/mysub/plan/subplan/confirmSubPlanInfo.htm?planId=878
又如:对于URL中包含金额参数的,修改金额看是否能够提交成功(可能导致用户把2元金额改成1元金额能提交),还有修改订单号等重要信息看是否会报错
3) URL中参数修改进行XSS注入:
什么是XSS?
XSS的全称是Cross Site Script(跨站点脚本)
XSS的原理很简单,即进行脚本注入,URL执行时即把此脚本进行了执行,一般都是JavaScript脚本,如<script>alter(“abc”)<script>
在URL中进行XSS注入,也就是把URL中的参数改成JS脚本。