[原创] 你所知道的web安全测试有多少？讨论，拍砖都可软件测试基地论坛 - 软件测试 | 软件测试资料 | 软件测试管理 | 自动化测试


» 您尚未登录注册 \| 社区服务 \| FTP中心 \| 帮助 \| 社区 \| 无图版 \| 测试百科 \| 测试Blog

软件测试基地论坛 -> WEB测试 -> [原创] 你所知道的web安全测试有多少？讨论，拍砖都可

XML

RSS 2.0

WAP

<< 1 2 >> Pages: ( 1/2 total )

--> 本页主题: [原创] 你所知道的web安全测试有多少？讨论，拍砖都可

加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

三更的影子

级别: 论坛版主
精华: 1
发帖: 16
基地声望: 17 点
基地币: 423 Bug
基地贡献: 0 点
好评度: 1 点
在线时间:8(小时)
注册时间:2005-10-14
最后登录:2006-01-23

[原创] 你所知道的web安全测试有多少？讨论，拍砖都可 web体系架构中涉及到的模块多多，安全问题不少个人总结一下自己的发现： 1.数据验证流程：一个好的web系统应该在IE端，server端，DB端都应该进行验证。但有不少程序偷工减料，script验证完了，就不管了；app server对数据长度和类型的验证与db server的不一样，这些都会引发问题。有兴趣的可参看一下script代码，设计一些case，这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的script代码，然后提交了一个form，引发了一个系统的重大漏洞后门 2. 数据验证类型：如果web server端提交sql语句时，不对提交的sql语句验证，那么一个黑客就可暗喜了。他可将提交的sql语句分割，后面加一个delete all或drop database的之类语句，能将你的数据库内容删个精光！我这一招还没实验在internet网站上，不知这样的网站有没有，有多少个。反正我负责的那个web系统曾经发现这样的问题。 3. 网络加密，数据库加密不用说了吧 .................................... 应该很多，想起来再说，大家快说说你曾发现过的安全问题啊。提醒：web在提交post请求时，应该是测试的重中之重。这里的问题很多的
来去随心，过往留影
[楼主] \| Posted: 2005-11-07 09:36

ilovejolly

级别: 测试新手
精华: 2
发帖: 43
基地声望: 20 点
基地币: 6652 Bug
基地贡献: 6 点
好评度: 0 点
在线时间:45(小时)
注册时间:2005-10-20
最后登录:2006-07-22

受教了，希望看到你更多更详细的经验之谈

[1 楼] \| Posted: 2005-11-07 15:09

judy

级别: 论坛版主
精华: 4
发帖: 118
基地声望: 130 点
基地币: 667 Bug
基地贡献: 146 点
好评度: 4 点
在线时间:40(小时)
注册时间:2005-10-14
最后登录:2007-09-12

我曾经碰到在查看网页源文件中，看到登录的用户名和密码没有加密的情况。算是你上面所说到的第三种情况了。其他两种情况还没有注意过。
波动是糟糕的
[2 楼] \| Posted: 2005-11-13 20:03

三更的影子

楼上，能在源文件中看见用户名和密码，这是怎么解释？密码是用户post上去的吧，不会是从server端retrive的啊。推荐一本书，英文名叫做《writing security code》，从底层API到web架构设计，详细介绍了各个层次需要注意的安全漏洞。非常好，是微软推荐的新员工手册。
来去随心，过往留影
[3 楼] \| Posted: 2005-11-21 21:55

rockyxie

级别: 测试新手
精华: 0
发帖: 1
基地声望: 1 点
基地币: 6594 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:0(小时)
注册时间:2005-12-06
最后登录:2005-12-06

HTTPS的认证书，还有，掩盖应用的扩展名，不用.do什么的，使用.html扩展名来mapping. 还有好多的要注意的地方。

[4 楼] \| Posted: 2005-12-06 14:17

taker2001

级别: 助理测试工程师
精华: 2
发帖: 119
基地声望: 54 点
基地币: 6651 Bug
基地贡献: 81 点
好评度: 10 点
在线时间:129(小时)
注册时间:2005-10-17
最后登录:2007-04-03

在软件安全开始越来越受人重视的今天，软件的安全性测试是必不可少了。尤其是WEB软件的安全性，关系到一个
企业的形象和能力。
我把我对WEB软件安全性测试的方法和经验（见笑了只有半年，哈哈），给大家批评和讨论。
WEB软件最常碰到的BUG为：
1、SQL INJETION
2、对文件操作相关的模块的漏洞
3、COOKIES的欺骗
4、本地提交的漏洞

SQL INJETION的测试方法
原理：
如有一新闻管理系统用文件news.asp再用参数读取数据库里的新闻譬如
http://www.xxx.com/news.asp?id=1 这一类网站程序
如果直接用
rs.open "select * from news where id=" &
cstr(request("id")),conn,1,1 数据库进行查询的话即上面的
URL所读取的文章是这样读取的
select * from news where id=1
懂得SQL语言的就知道这条语言的意思是在news读取
id为1的文章内容。但是在SQL SERVER里select是支持子查询和多句执行的。如果这样提
交URL的话
http://www.xxx.com/news.asp?id=1 and 1=(select count(*) from admin
where left(name,1)=a)
SQL语句就变成了select * news where id=1 and 1=(select count(*)
from admin where left(name,1)=a)
意思是admin表里如果存在字段字为name里左边第一个字符是a的就查询news表里id为1的内容，news表里id为1是有内容
的,从逻辑上的角度来说就是1&P
只要P为真，表达式就为真，页面会返回一个正确的页面。如果为假页面就会报错或者会
提示该id的文章不存在。黑客利用这点就可以慢慢得试用后台管理员的用户和密码。

测试：
测试存不存在SQL INJETION很简单如果参数为整数型的
就在URL上分别提交http://www.xxx.com/news.asp?id=1 and 1=1
和http://www.xxx.com/news.asp?id=1 and 1=2
如果第一次返回正确内容，第二次返回不同页面或者不同容内的话表明news.asp文件存在SQL
INJETION.如何利用就不多
说了，毕竟我们都不是为了入侵。

对文件操作相关的模块的漏洞在测试

原理：
如一上传文件功能的程序upload.asp如果程序员只注重其功能上的需求没有考虑到用户不按常规操作的问题。如上传一个网
页木马程序上去，整个网站甚至整个服务器的架构和源码都暴露而且还有一定的权限。

测试：
试上传asp,php,jsp,cgi等网页的文件看是否成功。

补充：
还有像
http://www.xxx.com/download/filespath.asp?path=../abc.zip
下载功能的软件如果
http://www.xxx.com/download/filespath.asp?path=../conn.asp
很可能下载到这些asp的源码数据库位置及用户密码都可能暴露。
其它还有很多，就不一一举例了。

COOKIES的欺骗

原理：
COOKIES是WEB程序的重要部分，COOKIES有利有弊。利在于不太占用服务器的资源，弊在于放在客户端非常容易被人修改加以利用
。所以一般论坛前台登陆用COOKIES后台是用SESSION，因为前台登陆比较频繁，用SESSION效率很低。但如论坛程序管理员用户在
前台也有一定的权限，如果对COOKIES验证不严的话，严重影响了WEB程序的正常工作。如前期的LEADBBS，只有后台对COOKIES验
证严格，前台的位置只是从COOKIES读取用户的ID，对用户是否合法根本没有验证。

测试：
推荐使用MYBROWER浏览器，可即时显示及修改COOKIES。尝试一下修改里面的对应位置。

本地提交表单的漏洞

原理：
Action只接爱表单的提交，所以表单是客户WEB程序的接口。先举一个例子，一个投票系统，分A，B，C，D各项的VALUE是100,80,60,40。
但是如果先把些页面以HTML形式保存在本地硬盘里。然后修改其VALUE，再向其ACTION提交，ACTION会不会接受呢？

测试：
如一投票系统，把投票的页面保存在本地硬盘，用记事本打开，找到对应项的VALUE值，对其修改，然后提交。

这是我在测试过程中所最常碰到的BUG，也是最广泛存在的。由于本人水平有限，有错漏之处请指出，或者大家对WEB的安全性测试有什么心得
请和我及大家分享。

此帖被评分,最近评分记录

威望:1(海松宝)

[5 楼] | Posted: 2005-12-07 12:55

海松宝

级别: 总版主
精华: 4
发帖: 1741
基地声望: 414 点
基地币: 413 Bug
基地贡献: 291 点
好评度: 15 点
在线时间:1093(小时)
注册时间:2005-10-13
最后登录:2008-10-30

这个讨论不错，支持
软件测试的发展，需要你我他共同参与
[6 楼] \| Posted: 2005-12-07 15:45

tutenglang

级别: 测试新手
精华: 0
发帖: 29
基地声望: 3 点
基地币: 6620 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:9(小时)
注册时间:2005-11-19
最后登录:2008-11-14

受教了

[7 楼] \| Posted: 2006-01-14 11:53

踏浪姑娘

级别: 测试新手
精华: 0
发帖: 8
基地声望: 1 点
基地币: 6581 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:0(小时)
注册时间:2006-02-03
最后登录:2006-02-03

俺一直是做WEB UI测试的, 楼主是把各种软件综合起来了吧, 如果是操级用户端的,比如通信方面的, 好像没有要求的这样严格啊, 软件测试是一定要严瑾的, 我测试的比较细致吧,另一个同事却不让我测的太细,当然我是不会那样傻的, 我才了解到这个男同事是多么的阴险啊,哈哈.....我是个傻丫头啦.
夜漫漫,路上珍重... 测试人生...
[8 楼] \| Posted: 2006-02-03 17:37

踏浪姑娘

QUOTE: 下面是引用海松宝于2005-12-07 15:45发表的: 这个讨论不错，支持总版主啊,我发现您这个论坛是不是也在测试过程中啊...不过论坛名字叫的口气好大啊, 哈哈.... 开玩笑. 我提个BUG吧,提交时为啥还要英文提示啊, 难道要让我们学习英文吗, 这倒是不错, 不错...
夜漫漫,路上珍重... 测试人生...
[9 楼] \| Posted: 2006-02-03 17:39

海松宝

QUOTE: 下面是引用踏浪姑娘于2006-02-03 17:39发表的: 总版主啊,我发现您这个论坛是不是也在测试过程中啊...不过论坛名字叫的口气好大啊, 哈哈.... 开玩笑. 我提个BUG吧,提交时为啥还要英文提示啊, 难道要让我们学习英文吗, 这倒是不错, 不错... ....... 罗马不是一夜建成的，网站和论坛也是如此，呵呵！只要用心和努力，加上大家的支持，必然会一点一点发展起来。你说的这个英文提示是什么，能够描述一下具体信息或贴个图吗？
软件测试的发展，需要你我他共同参与
[10 楼] \| Posted: 2006-02-04 14:16

jqmlq

级别: Cntesting老学员
精华: 0
发帖: 156
基地声望: 36 点
基地币: 9 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:490(小时)
注册时间:2005-12-25
最后登录:2008-10-02

5楼的说的使我受教了

[11 楼] \| Posted: 2006-05-16 08:55

willyenillye

级别: 测试新手
精华: 0
发帖: 2
基地声望: 1 点
基地币: 6526 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:0(小时)
注册时间:2006-05-18
最后登录:2006-05-18

貌似还存在强制后台浏览，跨站脚本攻击，堆栈溢出攻击等等。强制后台浏览：绕过登陆页面，直接提交系统文件夹或文件页面。不完善的系统如果缺少index.html就可能被绕过登陆验证页面。在系统文件夹中保留一些公司机密内容也会造成不可估计的损失。跨站脚本攻击：基本上这个我只是在论坛——各种形式的论坛里看到过，具体的一个例子，比如这段代码可以被填在任何输入框里“<script>alert("attacking!");</script>”，如果未对一些字符，如“<”、">"进行转换，就会自动执行这个脚本。百度快照所提供的网页都自动将代码执行了。不信大家搜一点JS的代码，看看你能不能看到。堆栈溢出攻击：完全的不了解，只是在某个网站上看到，可以对现在的2000、XP、2003进行攻击，非常恐怖，MS应该打了补丁了吧？还有很多，刚刚看到一本介绍这个的，悄悄地读书去鸟。。。
发呆进行中。。
[12 楼] \| Posted: 2006-05-18 10:38

lovefly_zero

级别: 测试新手
精华: 0
发帖: 37
基地声望: 3 点
基地币: 6461 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:2(小时)
注册时间:2006-06-29
最后登录:2006-11-21

支持

[13 楼] \| Posted: 2006-07-10 13:30

125995688

级别: 测试新手
精华: 0
发帖: 3
基地声望: 1 点
基地币: 6426 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:4(小时)
注册时间:2006-07-11
最后登录:2006-09-06

受教了.谢谢!辛苦了。

[14 楼] \| Posted: 2006-07-12 09:25

bottoline

级别: 测试新手
精华: 0
发帖: 12
基地声望: 1 点
基地币: 6436 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:5(小时)
注册时间:2006-07-27
最后登录:2006-08-02

学习ing!!!!
学习，编程，测试，提高！
[15 楼] \| Posted: 2006-07-29 09:22

travelinrain

级别: 测试新手
精华: 0
发帖: 7
基地声望: 1 点
基地币: 6431 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:0(小时)
注册时间:2006-11-02
最后登录:2006-11-02

学习了~~~

[16 楼] \| Posted: 2006-11-02 15:06

asai-oyh

级别: 助理测试工程师
精华: 0
发帖: 140
基地声望: 23 点
基地币: 6575 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:48(小时)
注册时间:2006-08-14
最后登录:2008-03-13

恩,要学习啊....
++今天的微笑要要带上明天的幸福++
[17 楼] \| Posted: 2006-11-14 15:49

virus

级别: 测试新手
精华: 0
发帖: 1
基地声望: 1 点
基地币: 2109 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:0(小时)
注册时间:2007-05-21
最后登录:2007-05-21

不错 nice～

[18 楼] \| Posted: 2007-05-21 19:40

ailiaoooo

级别: 测试新手
精华: 0
发帖: 1
基地声望: 1 点
基地币: 2109 Bug
基地贡献: 0 点
好评度: 0 点
在线时间:0(小时)
注册时间:2007-05-23
最后登录:2007-05-23

官方网站: http://www.web300.cn 演示地址：http://demo.web300.cn/free18 试用地址：http://www.web300.cn/try.asp?pname=WEB300%BA%C0%BB%AA%CB%AB%D3%EF%C6%F3%D2%B5%CD%F8%D5%BE 后台地址为 /admin 后台登录帐号admin密码为 admin 此系统都是基于ASP+ACCESS技术开发的电子商务平台,属于全自动化、全智能的在线方式管理、维护、更新的网站管理系统。此系统直接上传到你的网站空间就可以使用了。完全后台操作。后台主要功能如下：一、系统管理：管理员管理，可以新增管理员及修改管理员密码；数据库备份，为保证您的数据安全本系统采用了数据库备份功能；上传文件管理，管理你增加产品时上传的图片及其他文件。二、企业信息：可设置修改企业的各类信息及介绍。三、产品管理：产品类别新增修改管理，产品添加修改以及产品的审核。四、订单管理：查看订单的详细信息及订单处理。五、下载中心：可分类增加各种文件，如驱动和技术文档等文件的下载。六、会员管理：审核、修改删除会员资料，及锁定解锁功能。七、新闻管理：能分大类和小类新闻，不再受新闻栏目的限制。八、留言管理：管理信息反馈及注册会员的留言，注册会员的留言可在线回复，未注册会员可使用在线发信功能给于答复。九、人才管理：发布修改招聘信息，人才策略栏目管理，应聘管理。十、营销网络：修改营销网络栏目的信息。十一、会员产品:只有会员才能看到的产品信息。十二、留言簿功能：审核、回复留言。十三、发布网站公告中英文版同一后台管理，同时拥有中英文版本的网站。如果有不懂的地方随时可以加我们的QQ：812256 183317146 或来电话询问:0312-4164045 13613394168

[19 楼] \| Posted: 2007-05-23 14:22

<< 1 2 >> Pages: ( 1/2 total )
软件测试基地论坛 -> WEB测试

软件测试基地是上海测仕信息技术有限公司旗下网站
Copyright © 2005-2007 Cntesting.com, All Rights Reserved
沪ICP备06057721号

Powered by PHPWind Code © 2003-06 PHPWind
Total 0.198548(s) query 5, Time now is:12-05 09:53, Gzip disabled
You can contact us

每日一句：Loading...