摘要:
本文主要对各类书籍以及网络上所介绍的相关Web安全测试的方法进行了一定的归纳,并结合实际工作经验进行了一些粗略的禅述,由于Web安全测试具有较高的难度性,在此也仅仅是依据一些常规测试点进行了粗略的策略上的描写,其内容的正确性和广泛性也没得到验证。另外本文档所针对的测试类型是Web网页端的,没有对服务器的安全进行涉猎,由于个人能力的问题肯定有许多地方还有其它测试方法或者方法出错的地方,希望能够得到指正。
关键词:web网页安全测试
一 、Web常有的安全漏洞
通过查询相关资料,Web应用程序存在的常有漏洞在此做了简单的介绍,具体内容请参考下面的内容。
1.1 错误配置
App.config中存在的一些错误配置、Sql服务器、Web服务器的错误配置为非法用户的攻击提供了一些机会。
1.2 隐藏字段
查看源代码中有些信息被注释掉,但这些信息在间接上为攻击者提供了一些信息。另外,许多Web应用允许恶意的用户修改HTML源文件中的一些字段,为他们提供了攻击的机会。
1.3 后门和调试漏洞
开发人员常常建立一些后门并依靠调试来排除应用程序的故障。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。
1.4 跨站点脚本
一般来说,跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。
1.5 参数篡改
参数篡改包括操纵URL字符串,以检索用户以其他方式得不到的信息。
1.6 Cookie安全
网站常常将一些包括用户ID、口令、帐户等的cookie存储到用户系统上。通过改变这些值,恶意的用户就可以访问不属于他们的帐户。
……………………
查看全文请点击下载:http://www.51testing.com/html/02/n-227802.html
二 、实施测试的大体方略
通过上面的介绍,我们已知道Web网页端所存在的常见的安全漏洞,下面将针对上面的漏洞类型的检测方法做了一些粗略的介绍。
2.1 利用Visual Studio.Net 2008 的code Analysis来检测
C#2008中提供了一个security Rules规则,利用此规则可以检测出一些代码级的安全隐患,其中提供的检测规则有:
CA2012:Catch non-CLScomplaint exceptions in general hanlers(抓住一般hanlers非CLScomplaint例外)
CA2103:Review imperative security(检测命令性安全)
CA2104:Do not declare read only mutable reference types(不要声明只读可变强用类型)
CA2105:Array fields should not be read only(数据字段不应为只读)
CA2106:secure asserts(保护断言)