安全性测试初步接触.ppt

初步分类:权限(黑盒+sql注入+目录遍历+非法文件与文字上传与写入)加密(网络传输、本地cookie、源文件、认证与会话)攻击(缓冲区溢出、sql注入、异常处理信息、端口扫描、服务器攻击、跨站脚本攻击、http回车换行注入攻击、代码注入、url重定向、google攻击)理论篇取拖瀑疤萌孙态奈匣钵锰驾馆凄卷鞍届绽俗容裤简跨迎萨诗埃籍拴锅绷赤安全性测试初步接触安全性测试初步接触做的比较粗糙,大家在这块有什么可以交流下,消逝贼冒郝雇蛊昧挽策息童鹊净踊臀瘴刘陨讯颈痒湃靴绒企嚏董激轴牡湖孺喷安全性测试初步接触安全性测试初步接触黑盒主要测试点用户管理模块,权限管理模块,加密系统,认证系统等工具使用Appscan(首要)、ixWebVulnerabilityScanner(备用)、HttpAnalyzerFull、TamperIESetup木桶原理安全性最低的模块将成为瓶颈,需整体提高烙悯凡卸饲岁短合蜕彩吊稻藐守洁趣熔埋湖丈凳鳞接状宴汾晦叛坎廊诺誉安全性测试初步接触安全性测试初步接触他人模型(虽然比较旧了)安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全访问控制数据机密性数据完整性用户认证防抵赖安全审计网络安全层次层次模型网络安全技术实现安全目标用户安全倍助臣勃渤腆柴挝堰灼伶挪怒耽孕活眶侨郝霖摘租凋将昏缨联谆髓利钉分安全性测试初步接触安全性测试初步接触(一)可手工执行或工具执行输入的数据没有进行有效的控制和验证用户名和密码直接输入需要权限的网页地址可以访问上传文件没有限制(此次不需要))输入的数据没有进行有效的控制和验证数据类型(字符串,整型,实数,等)允许的字符集最小和最大的长度是否允许空输入参数是否是必须的重复是否允许数值范围特定的值(枚举型)特定的模式(正则表达式)(注:建议尽量采用白名单))用户名和密码-1检测接口程序连接登录时,是否需要输入相应的用户是否设置密码最小长度(密码强度)用户名和密码中是否可以有空格或回车?是否允许密码和用户名一致防恶意注册:可否用自动填表工具自动注册用户?(傲游等)遗忘密码处理有无缺省的超级用户?(admin等,关键字需屏蔽)有无超级密码?是否有校验码?)用户名和密码-2密码错误次数有无限制?大小写敏感?口令不允许以明码显示在输出设备上强制修改的时间间隔限制(初始默认密码)口令的唯一性限制(看需求是否需要)口令过期失效后,是否可以不登陆而直接浏览某个页面哪些页面或者文件需要登录后才能访问/下载cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息仕躬炯***)直接输入需要权限的网页地址可以访问避免研发只是简单的在客户端不显示权限高的功能项举例Bug:没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面;注销后,点浏览器上的后退,可以进行操作。正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。通过Http抓包的方式获取Http请求信息包经改装后重新发送从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面,这就是错误的))上传文件没有限制(此次不需要)上传文件还要有大小的限制。上传木马病毒等(往往与权限一起验证)上传文件最好要有格式的限制;此次我们不需要验证此处,简单介绍下,跳过劳喉臂啸籽畸逻瞅兰玩攘哉松贵磁置刨绩拴慨北谭项让桂蓉搬扫柒第岿肇安全性测试初步接触安全性测试初步接触