常用安全测试方法介绍
上一篇 / 下一篇 2013-12-31 14:59:35 / 个人分类:测试用例设计方法
下面分别对几种安全测试方法的目的和操作步骤进行详细介绍:
测试用例名称 | 运行账号权限测试 |
测试目的 | 运行Web服务器的操作系统账号权限越高,那么Web遭到攻击产生的危害就越大。因此,不应使用“root”、“administrator”、等特权账号或高级别权限的操作系统账号来运行Web,应该尽可能地使用低级别权限的操作系统账号。 |
测试条件 | 已知Web网站IP地址和OS登陆账号、密码 |
执行步骤 | 登陆Web服务器操作系统 查看运行Web服务器的操作系统账号,不是“root”、“administrator”等特权账号或高级别权限账号,如果是则存在漏洞。 |
预期结果 | 没有使用“root”、“administrator”等特权操作系统账号运行Web。 |
备注 |
|
测试结果 |
|
二、Web服务器端口扫描:
测试用例名称 | Web服务器端口扫描 |
测试目的 | 有时Web应用服务器除业务端口外还会开放一些默认端口(如Jboss开放的8083),这些默认端口对最终用户是不需要开放的,而且也不会用于维护,容易被攻击,本测试目的在于发现服务器上未使用的Web端口。 |
测试条件 | 1、 已知Web服务器域名或IP地址,假设IP地址为192.168.1.1 2、 测试用机安装了nmap,假设路径为d:\nmap |
执行步骤 | 1、 打开命令提示符,切换到nmap路径下,输入cd /d d:\nmap 2、 运行nmap–n–P0–sS–sV–p1-65535–oX scan_report.xml 192.168.1.1 3、 使用浏览器打开scan_report.xml 4、 观察结果,看是否为必须开放的Web服务端口。 |
预期结果 | 系统未开放业务不需要使用的端口。 |
备注 | 各种参数扫描请参考《利用nmap进行端口扫描》 |
测试结果 |
|
三、HTTP方法测试
测试用例名称 | 开放HTTP方法测试 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
测试目的 | 有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
测试条件 | 1、 已知Web网站IP地址及Web访问端口 2、 Web业务正常运行 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
执行步骤 | 1、 点击“开始”-“运行”,输入cmd并回车,运行cmd.exe 2、 输入telnetIP端口(其中IP和端口按实际情况填写,用空格隔开) 3、 回车 4、 在新行中输入如下一行,并回车 OPTIONS / HTTP/1.1 5、 TAG:
标题搜索日历
我的存档数据统计
RSS订阅 | ||||||||||||||||||||||||||||||||||||||||||||||||||||
