需要考虑的情形:
(1)数据加密。某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登录密码、信用卡信息等。例如,在登录某银行网站时,该网站必须支持SSL协议,通过浏览器访问该网站时,地址栏的http变成https,建立https连接。这相当于在HTTP与TCP之间增加了一层加密——SSL协议。SSL是利用公开密钥/私有密钥的加密技术(RSA),建立用户与服务器之间的加密通信,确保所传递信息的安全性。数据加密的安全性还包括加密的算法、密钥的安全性。
(2)登录或身份验证。一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登录测试的时候,需要考虑输人的密码是否大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者件需要登录后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等,并区分公共访问和受限访问,受限访问的资源。
(3)输入验证。Web页面有很多表单提交,实际每个输入域都可能是一个潜在的风险,黑客可以利用文字输入框,将攻击性的脚本输入进去,提交给服务器处理,来攻击服务器。有时,也可以在输入域提交一些危害性的脚本,提交上去,隐含到某个页面上,如某个文件的下载链。当另外一个用户单击链接时,就可以调用相应的脚本来读取该用户硬盘的数据或用户名/口令,发送出去,类似于木马病毒。所以,在进行Web安全性测试时,每个输入域都需要用标准的机制验证,长度、数据类型等符合设定要求,不允许输人JavaScript代码,包括验证从数据中检索的数据、传递到组件或Web服务的参数等。
(4)SQL注入。从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取必要的数据库信息,然后基于这些信息,可以注入某些参数,绕过程序的保护,针对数据库服务器进行攻击。例如,在原有URL地址后面加一个恒成立的条件(如or 1=1或or user>0),这样,可以绕过系统的保护,对数据库进行操作。
(5)超时限制。Web应用系统一般会设定“超时”限制,当用户长时间(如15min)不做任何操作时,需要重新登录才能打开其他页面。会话(Session)的安全性还包括交换会话标识符、会话存储状态等的安全性。
(6)目录。Web的目录安全也是不容忽视的,如果Web程序或Web服务器的处理不适当,可以通过简单的URL替换和推测,使整个Web目录暴露出来,带来严重的安全隐患。可以采用某些方法将这种隐患降低到最小程度,如每个目录下都存在index.htm,以及严格设定Web服务器的目录访问权限。
(7)操作留痕。为了保证Web应用系统的安全性,日志文件是至关重要的,需要测试相关信息是否写进了日志文件,是否可追踪。
常用类型:
跨站点攻击(Xcross-site Scripting,XSS)可以让攻击者在页面访问者的浏览器中执行JavaScript脚本,从而可以获得用户会话的安全信息、插入恶意的信息或者植入病毒等。按照注入的途径,一般分为三种:
1.反射跨站点攻击(Reflected XSS)
服务器端获取http请求中的参数,未经安全检查或者重新编码过滤直接输出到客户端。如果这些参数是脚本,它将在客户端执行。
2.存储跨站点攻击(Stored XSS)
用户输入的数据存在服务器端(一般存在数据库中),其他用户访问某个页面时,这些数据未经过滤直接输出。这些数据可能是恶意的脚本,对其他用户造成危害。
3.基于DOM文档对象模型跨站点攻击(DOM-Based XSS)
攻击者构造一个包含恶意Javascript的URL,然后引诱用户请求这个URL。服务器收到请求后返回恶意的Javascript。
1. 概述
选择一个开源的安全测试工具,开展试用,写一个试用报告。
报告内容:安全测试工具试用
2)提交安全测试报告,描述所做的测试、遇到的问题、结果分析等,要包括主要的测试运行截图。
需要关闭反病毒软件和防火墙
安装过程文件释放速度比较慢,硬盘负载比较高,运行前的准备时间较长。
3.启动服务,使用浏览器ui注册Metasploit
命令行console.bat启动
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理