安全性测试初步接触.ppt

初步分类: 初步分类: 权限权限(黑盒(黑盒+ + sql sql 注入注入+ +目录遍历目录遍历+ +非法文件与文字上传与写入) 非法文件与文字上传与写入) 加密加密(网络传输、本地(网络传输、本地 cookie cookie 、源文件、认证与会话) 、源文件、认证与会话) 攻击攻击(缓冲区溢出、(缓冲区溢出、 sql sql 注入、异常处理信息、端口扫描、服务器攻注入、异常处理信息、端口扫描、服务器攻击、跨站脚本攻击、击、跨站脚本攻击、 http http 回车换行注入攻击、代码注入、回车换行注入攻击、代码注入、 url url 重定向、重定向、 google google 攻击) 攻击) 理论篇理论篇??做的比较粗糙,大家在这块有什么可以交做的比较粗糙,大家在这块有什么可以交流下, 流下, ??消逝消逝????黑盒主要测试点黑盒主要测试点用户管理模块,权限管理模块,加密系统,认证系统等用户管理模块,权限管理模块,加密系统,认证系统等??工具使用工具使用 Appscan Appscan (首要)、(首要)、 ix ix Web Vulnerability Scanner Web Vulnerability Scanner (备(备用)、用)、 HttpAnalyzerFull HttpAnalyzerFull 、、 TamperIESetup TamperIESetup ??木桶原理木桶原理安全性最低的模块将成为瓶颈,需整体提高安全性最低的模块将成为瓶颈,需整体提高??他人模型他人模型(虽然比较旧了) (虽然比较旧了) 安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全?访问控制?数据机密性?数据完整性?用户认证?防抵赖?安全审计网络安全层次层次模型网络安全技术实现安全目标用户安全(一)可手工执行或工具执行(一)可手工执行或工具执行??输入的数据没有进行有效的控制和验证输入的数据没有进行有效的控制和验证??用户名和密码用户名和密码??直接输入需要权限的网页地址可以访问直接输入需要权限的网页地址可以访问??上传文件没有限制(此次不需要) 上传文件没有限制(此次不需要) ??不安全的存储不安全的存储??操作时间的失效性操作时间的失效性 )输入的数据没有进行有效的控制和验证)输入的数据没有进行有效的控制和验证??数据类型(字符串,整型,实数,等) 数据类型(字符串,整型,实数,等) ??允许的字符集允许的字符集??最小和最大的长度最小和最大的长度??是否允许空输入是否允许空输入??参数是否是必须的参数是否是必须的??重复是否允许重复是否允许??数值范围数值范围??特定的值(枚举型) 特定的值(枚举型) ??特定的模式(正则表达式)(注:建议尽量采用白名单) 特定的模式(正则表达式)(注:建议尽量采用白名单) )用户名和密码)用户名和密码-1 -1 ??检测接口程序连接登录时,是否需要输入相应的用户检测接口程序连接登录时,是否需要输入相应的用户??是否设置密码最小长度(密码强度) 是否设置密码最小长度(密码强度) ??用户名和密码中是否可以有空格或回车? 用户名和密码中是否可以有空格或回车? ??是否允许密码和用户名一致是否允许密码和用户名一致??防恶意注册:可否用自动填表工具自动注册用户? 防恶意注册:可否用自动填表工具自动注册用户? (傲(傲游等) 游等) ??遗忘密码处理遗忘密码处理??有无缺省的超级用户有无缺省的超级用户? ?( ( admin admin 等,关键字需屏蔽) 等,关键字需屏蔽) ??有无超级密码有无超级密码? ? ??是否有校验码? 是否有校验码? )用户名和密码)用户名和密码-2 -2 ??密码错误次数有无限制? 密码错误次数有无限制? ??大小写敏感? 大小写敏感? ??口令不允许以明码显示在输出设备上口令不允许以明码显示在输出设备上??强制修改的时间间隔限制(初始默认密码) 强制修改的时间间隔限制(初始默认密码) ??口令的唯一性限制(看需求是否需要) 口令的唯一性限制(看需求是否需要) ??口令过期失效后,是否可以不登陆而直接浏览某个页面口令过期失效后,是否可以不登陆而直接浏览某个页面??哪些页面或者文件需要登录后才能访问哪些页面或者文件需要登录后才能访问/ /下载下载?? cookie cookie 中或隐藏变量中是否含有用户名、密码、中或隐藏变量中是否含有用户名、密码、 userid userid 等等关键信息关键信息 )直接输入需要权限的网页地址可以访问)直接输入需要权限的网页地址可以