安全性测试初步接触

.初步分类：权限(黑盒SQL注入目录通过非法文件和文本上载和写入)加密(网络传输、本地cookie、源文件、身份验证和会话)攻击(缓冲区溢出、SQL注入、异常处理信息、端口扫描、服务器攻击、跨站点脚本攻击、hhr，变得更粗糙了，我们可以沟通一些东西，消失。黑盒关键测试点用户管理模块、权限管理模块、加密系统、身份验证系统等工具包括Appscan(最佳)、acunetixwebvulneratabilityscanner(备用)、HttpAnalyzerFull、TTP 审核和监控验证数据加密数字签名完整性验证端到端加密访问控制点之间的链接加密物理通道安全、访问控制数据机密性数据完整性、用户身份验证拒绝安全审核、网络安全层、分层模型、网络安全技术、实现安全目标、用户安全、(a)手动运行或运行工具，输入的数据没有有效的控制，需要用户名和密码确认权限的网址可以直接访问输入上传文件没有限制(这次不需要)不安全的保存操作时间没有到期，1.1)输入的数据没有有效的控制和验证，数据类型(字符串、整数、实数、等)允许的字符集最小和最大长度null输入参数是否是必需的迭代，数字范围特定值(枚举)是否允许特定模式(正则表达式)(请注意：如果可能，建议使用白名单)，以及，1.21)用户名和密码-1，登录界面程序连接时该用户是否可以在密码最小长度(密码强度)用户名和密码中设置空格或回车？允许密码和用户名的一致防恶意软件注册：是否可以使用自动表格填写工具自动注册用户？(吹牛等)忘记密码处理的超级用户？(admin等，关键字需要截取)有超级密码吗？有验证码吗？1.22)用户名和密码-2，密码错误次数没有限制吗？区分大小写？密码限制在输出设备上强制修改的时间间隔(初始默认密码)密码的唯一性限制(查看是否需要要求)密码到期后是否可以在不登录的情况下浏览页面，或者在隐藏文件是否包含用户名、密码、userid等核心信息的情况下，是否需要登录文件。1.3)您可以通过直接输入需要权限的网址来访问。例如，可以避免客户端不显示高权限功能的简单情况。也就是说，直接输入登录后可以查看的页面(包括跳转页面)的网址，该页面未登录或注销后可以直接打开。登出后，您可以从点浏览器中后退以执行工作。正常登录后，可以直接输入无权查看的页面的网址来打开页面。通过Http捕获包修改Http请求信息包，然后从权限较低的页面返回，可以返回到较高的页面(例如，发送消息后浏览器返回到信息创建页面出错)。1.4)文件上载没有限制(这次不需要)，文件上载有大小限制。例如特洛伊病毒(经常与权限一起验证)，上传文件最好有格式限制。这次不需要确认这里。简单说明一下，省略，1.5)这是不安全的存储，因此如果在页面上输入密码，页面上必须显示“* * * * * *”，数据库中存储的密码必须加密。地址栏中没有显示您刚才创建的密码。右键单击源文件时，不会显示刚才输入的密码。帐户列表：用户无法搜索网站上的所有帐户。如果需要用户列表，建议使用指向实际帐号的假名(屏幕名称)形式的工作时间。1.6)如果在系统配置的时间内没有界面活动，则必须检测系统是否自动使用户过期，然后重新登录系统。支持作业失败时间的配置。如果用户在配置的时间内不对界面执行任何操作，则支持自动过期。例如，用户登录后，是否需要重新登录才能在一定时间(如15分钟)内正确使用，而无需单击任何页面？(b)通过工具或了解后的手动测试无法向客户端发送数据验证的不安全对象参考，在发送XSS攻击注入漏洞(SQL injection)时存储的密码和无加密，通过非安全通信目录。2.1)无法将数据验证发送到客户端。服务器端验证和限制客户端是不安全的，因为不会忽略长度、特殊字符或脚本等客户端限制。重要的运算和演算法不会在用户端上执行。会话和cookie示例：修改web页以保存web页并忽略客户机的验证。(可选下拉框，对输入数据有特殊要求的文本框)查看cookie中记录的内容，在伪请求测试中使用TamperIESetup绕过客户机输入框的限制。2.21)防止不安全的对象引用、XSS等攻击、阻止有语法意义的输入、防止XSS(crossite scripting(XSS)Flaws XSS(跨站点脚本攻击)csrf(cross-)攻击者可以在线提交完成攻击的脚本，最终用户单击这些攻击者在网页上提交的脚本，然后在用户客户端上运行，结束所有攻击行为，包括阻止帐户、更改用户设置、窃取和操作cookie到虚假广告。2.22)引用不安全的对象，防止攻击(如XSS)，测试方法：在输入框中输入以下字符，然后直接输入脚本以查看HTML标记：转义符：输入或输出时过滤或转义字符，2.23)注入式漏洞(SQL注入)、数据库等的注入攻击。例如：确认使用者登入的页面，Select * fromtable awhere username= username and password.在SQL语句后输入“or1=1”可以攻击SELECTcount(*)，而无需输入password Fromuserswhereusername=aora=aand password=aora=a()，2.24)使用发送时存储的密码和未加密的SSL在http层和TCP层之间将用户和服务器之间的加密通信设置为SSL站点，浏览器中出现警告消息，然后地址栏中的HTTP确定https(特征)证书认证3354333333333333333333333333333333333333333333333333333333333333333333333333333333333存储数据库是独立的，具有备份权限的数据库，唯一的权限。2.25)可以浏览目录。例如，将此URL更改为：1、控制用户输入非法路径(例如限制在服务器上运行web应用程序、设置对web服务器的目录访问权限2、严格输入验证、访问每个目录时使用index.htm、研发或工具)、验证和会话数据不能作为GET的一部分发送，因为隐藏域和CGI参数不适当的异常处理。配置管理缓冲区溢出服务日志完整性拒绝、可审核性和可恢复性。3.1)GetorPOST、身份验证和会话数据不应作为GET的一部分发送。post示例：未针对Grid、Label、Treeview类的输入框进行验证，输入的内容根据html语法进行验证。可以使用TamperIESetup或ScannerHttpAnalyzerFull进行判断。 3.2)隐藏域和CGI参数，错误示例：分析：隐藏域中的重要信息泄露，在某些情况下，程序源代码可能泄露。直接修改CGI参数可能会复盖客户端的身份验证。例如：更改value值可能会显示程序的原始代码。由于大小写、编码解码、特殊字符或配置良好的特殊请求等原因，使用appscan或SSS等检测CGI源代码泄漏，检查特殊字符集。3.3)异常处理，分析：程序引发异常时提供更详细的内部错误信息，暴露不应显示的执行详细信息，网站上存在潜在的漏洞。网络环境的结构或配置通常是其他攻击手段(如www.c*、空搜索)的辅助位置、SQL注入攻击或关键字猜测攻击、3.4)非安全配置管理、分析：保护所有由Config中的链接字符串和用户信息、邮件和数据存储信息组成的安全机制手段：用户可以使用缓冲区溢出破坏web应用程序的堆栈，将特别编写的代码发送到web程序，使攻击者能够执行web应用程序中的所有代码示例。数据库的帐号是否默认为“sa”，密码(和端口号)是否未加密并直接写入配置文件。3.5)缓冲区溢出，如果web服务器不能正确处理用户提交的长请求，则可能包括长URL、长http头域或使用不进行有效位检查的函数(如strcpy () strcat()的其他长数据。恶意用户编写短程序以进一步打开安全缺口。然后，将此代码放在缓冲区有效负载的末尾，当缓冲区溢出时，返回给恶意代码用户的指针将使用缓冲区溢出破坏web应用程序的堆栈，并将专门编写的代码发送到web程序，使攻击者可以将web应用程序作为任意代码运行。如果出现Apach缓冲区溢出等错误，还必须检测第三方软件。3.6)拒绝服务，如长URL、特殊目录、长http头域、畸形http头域或DOS设备文件分析。攻击者可能在一台主机上产生足够的流量，耗尽多个应用程序，最终使程序瘫痪。必须平衡负载。死亡的平安、眼泪、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、畸形消息攻击。3.7)日志完整性。可审核性和可恢复性，服务器端日志：检测系统运行时是否写入整个日志。对于详细信息查询，系统会检测相应的操作者、操作时间、系统状态、操作问题、IP地址等，以检测在添加、修改和删除系统的重要数据时是否记录了相应的修改时间、操作者和修改前的数据记录。工具文章，WatchfireAppscan完整自动测试工具AcunetixWebVulnerability完整自动测试工具加载ScannerHttpAnalyzerFull网页时可判断的TamperIESetup提交表单时转换数据注意必须安装netframework，可能与sniffer冲突ScannerHttpAnalyzerFul和TamperIESetup可能会影响实际浏览器平时的功能测试。(a) WatchfireAppscan、模板选择、Default(包括大多数测试集合)、(2) AcunetixWebVulnerability、web扫描、用户名和密码填充，(3)输入ScannerHttpAnalyzerFull以嵌套在网页中。每个插件都有加载时间、Method、Result、type、URL等。m