安全测试总结安全测试的问题分类1. sql注⼊2. js攻击3. 缺head头4. 其他安全测试的⼯具1. appscan2. BurpSuite安全测试流程1. 启动⽹站(如果影响不⼤,可以把登陆退出功能暂时注释掉,在程序⾥写上固定的⽤户),确定⽹站可以正确运⾏,数据齐全(建议使⽤新建的数据库,因为安全测试会导⼊很多乱七⼋糟的数据)2. 运⾏测试软件,配置测试环境(⽐如数据库类型,系统类型等),⼿动探索,把所有的连接,功能什么的都运⾏⼀遍3. 进⾏安全测试(由于时间较长,所以要把测试服务器和测试机的节能关掉,以免⾃动休眠)4. 依次⼿动检验测试出来的每⼀个问题,⼒求复现每⼀个问题,删除误判的,导出测试报告5. 整理excel表格,依次列出每个问题的url,发⽣问题的参数,并标明修改进度(未重现,重现,修改完毕,复查完毕,已保留)6. 已重现的找相关⼈员进⾏修改,未重现的或者不理解的找相关⼈员或⾼级⼯程师进⾏咨询确认.7. ⼿动测试已经修改过的问题,确认不会复现8. ⽤测试⼯具打开上次的测试⽂件,重新测试.9. 根据测试结果再次整理漏洞进度表格10. 写测试报告注意:1.测试软件测出的问题不⼀定是准确的,只有能⼿动复现的问题才算漏洞.2.不能复现的问题,不⼀定不存在,可能是你技术⽔平不过关或者复现⽅法有问题3.测试软件没测出来的问题类型,不⼀定不存在,可以进⾏⼿动测试4.测试软件测的某类问题不⼀定全⾯,如果测出⼀个问题,并且可以复现,那么其他类似的功能可能都有这个问题,即使软件没测出来1.sql注⼊问题产⽣原因: 后台没有使⽤框架的参数注⼊功能,⽽使⽤了sql字符串和参数的拼接测试⽅法: ' or 'f'='f' 或者 ' and 'f'!='f'修复⽅法: 使⽤框架本⾝的set⽅法来注⼊值,或者转义参数中的特殊字符,⽐如',--等(这个⽅法不保险,因为总会遗忘⼀些东西)2.js攻击主要为XXS攻击和CSRF攻击XSS攻击问题产⽣原因:后台传来的参数⾥⾯的特殊符号没有进⾏转义测试⽅法: '"><script>alert(1)</script> 或者'"></script>修复⽅法: 1.后台传参之前,对特殊符号进⾏转义. 2.使⽤ajax等⽅法,获取参数后,在前台使⽤进⾏转义 3.使⽤<c:out value="${xxx}"/> 4.放⼊隐藏的textarea中,⽤js取出来使⽤.CSRF攻击问题产⽣原因:没有区分请求的来源⽹站测试⽅法:写⼀个form表单,提交到测试⽹站中,看看是否能执⾏其他js攻击:盗⽤cookie,盗⽤会话标识....3.缺head头问题产⽣原因:缺少head头或者meat标签测试⽅法:查看浏览器的network,看看response头有哪些修复⽅法:补充缺少的head头 (参考)4.其他其他问题零零散散,也不少,有严重的,有不严重的,⽐如:系统级别漏洞:可以任意上传下载⽂件(这个主要是把⽂件路径写在了参数⾥⾯),修改策略:路径应该保存再数据库,参数⾥写相应路径的id;框架级别漏洞:⽐如当年的struts2的漏洞#xxx19(好像是这个号),可以直接被⿊客操纵获取服务器的root权限,简直屌爆了.参考漏洞:html中留有系统相关的注释(这⾥建议使⽤jsp的注释,源码可看,转成html就没了<%--”和“--%>安全测试⼯具:appscan:我现在⽤的是appscan9.0,这个版本有破解⽂件,总体来说使⽤⽅便,可以⽣成美观的pdf格式的漏洞报告,很给⼒,缺点是很多误报BurpSuite:这个软件分为free版和收费版,free版只有拦截器的功能,不能进⾏安全测试,收费版可以进⾏安全测试,从我的⼏次操作来看,能测出⼀些appscan⽆法测出的问题.当然,因为这个软件的破解不完全(到了⼀定时间破解就失效了),所以我通常⽤它来做拦截器wireshark:这个软件本⾝不能进⾏安全测试,但是由于抓包功能强⼤,所以可以作为辅助作⽤,⽐如当appscan频繁让你登陆时,你可以抓包看看发送的请求是不是缺少认证(我经历过⼀次,抓包显⽰appscan发送的请求总是缺少认证,由于appscan配置不是很熟练,所以把程序的第三⽅认证给删了).。
