WEB安全测试培训

1、WEB安全培训安全培训 更多软件测试资料尽在更多软件测试资料尽在road软件测试论坛软件测试论坛http:/ GET POST Cookie HTTP头环境变量头环境变量v间接输入间接输入 数据库取出的数据数据库取出的数据 编码的用户数据编码的用户数据LOGOWEB程序安全问题vSQL注入注入v跨站脚本跨站脚本vUrl Redirect跳转跳转vAccess Control 越权访问越权访问LOGOSQL注入vSQL注入简介注入简介 拼接的拼接的SQL字符串改变了设计者原来的意图，字符串改变了设计者原来的意图，执行了如泄露、改变数据等操作，甚至控制数执行了如泄露、改变数据等操作，甚至控制数据库

2、服务器据库服务器 拼接拼接SQL字符串灵活方便，但是容易导致安全字符串灵活方便，但是容易导致安全问题问题LOGOSQL注入vSQL注入原理注入原理LOGOSQL注入利用v利用示例利用示例 LOGOSQL注入的危害v泄露敏感信息泄露敏感信息 攻击者可以获取后台数据库的种类、版本，操攻击者可以获取后台数据库的种类、版本，操作系统信息，数据库名、表名、字段名以及数作系统信息，数据库名、表名、字段名以及数据库中的数据信息据库中的数据信息v泄露敏感信息泄露敏感信息 无需知道口令就能以用户身份登陆应用系统无需知道口令就能以用户身份登陆应用系统v篡改敏感数据篡改敏感数据 对数据库进行增加、删除、篡改的操作对

3、数据库进行增加、删除、篡改的操作v执行任意系统命令执行任意系统命令 利用数据库支持的特定功能，执行任意命令利用数据库支持的特定功能，执行任意命令LOGOSQL注入的危害v不同的数据库，不同的数据库配置，危害不同的数据库，不同的数据库配置，危害程度不一样程度不一样 SQL Server默认配置并且使用默认配置并且使用sa帐号帐号 MySQL版本、数据库版本、数据库root帐号、系统帐号、系统root用户用户启动服务启动服务LOGOSQL注入v避免避免SQL注入注入 过滤拼接字符串中的用户数据，尤其不能忽视过滤拼接字符串中的用户数据，尤其不能忽视间接输入数据的间接输入数据的SQL语句拼接语句拼接

4、如果可能，使用其他方法代替如果可能，使用其他方法代替SQL语句拼接语句拼接 使用使用WEB应用扫描器检测程序相对比较明显的应用扫描器检测程序相对比较明显的SQL注入问题注入问题LOGO跨站脚本v跨站脚本简介跨站脚本简介 跨站脚本跨站脚本(Cross-Site Scripting)是指远程是指远程WEB页面的页面的html代码可以插入具有恶意目的的代码可以插入具有恶意目的的数据，当浏览器下载该页面，嵌入其中的恶意数据，当浏览器下载该页面，嵌入其中的恶意脚本将被解释执行，从而对客户端用户造成伤脚本将被解释执行，从而对客户端用户造成伤害。简称害。简称CSS或或XSS 不影响服务端程序，但影响客户端不

5、影响服务端程序，但影响客户端LOGO跨站脚本请求：请求：http:/ alert(/XSS/)LOGO跨站脚本危害v窃取窃取Cookie document.cookiev页面内容被篡改页面内容被篡改 Js代码改写代码改写/跳转页面跳转页面v蠕虫蠕虫 Myspace 新浪微博新浪微博v恶意代码恶意代码LOGO跨站脚本防御v显示用户数据时对显示用户数据时对 “&”等等HTML符号进符号进行编码转换行编码转换 htmlspecialcharsv过滤必要的过滤必要的XHTML属性及各种编码，尤其属性及各种编码，尤其在在WEB提供样式功能的时候提供样式功能的时候v设计时要考虑到关键内容不能由用户

6、的直设计时要考虑到关键内容不能由用户的直接数据显示，要有转换或后台间接审核的接数据显示，要有转换或后台间接审核的过程过程v用用WEB应用扫描器对程序进行检测应用扫描器对程序进行检测LOGOUrl Redirect跳转vUrl Redirect钓鱼攻击原理钓鱼攻击原理vredirect.htm?target=http:/LOGOURL跳转攻击QQQQ用户LOGOURL跳转攻击vUrl Redirect策略策略 目标地址应限制跳转到当前域内目标地址应限制跳转到当前域内 如果需要跳转到外部链接需要有如果需要跳转到外部链接需要有url的白名单的白名单LOGOAccess ControlvAccess

7、Control攻击例子攻击例子(前台代码前台代码) LOGOAccess ControlvAccess Control攻击例子攻击例子(后台代码后台代码)public boolean canManageMssage() if (isAdmin() return true; 检查了角色检查了角色但是短消息属于用户，不属于角色但是短消息属于用户，不属于角色LOGOAccess ControlvAccess Control安全策略安全策略 权限框架权限框架 SQL语句条件语句条件LOGOCookie的安全v简介简介 Cookie是是Netscape的一个重大发明，当用户的一个重大发明，当用户访问网站

8、时，它能够在访问者的机器保存一段访问网站时，它能够在访问者的机器保存一段信息，可以用来标识各种属性。当用户再次访信息，可以用来标识各种属性。当用户再次访问这个网站的时候，它又能够读出这些信息，问这个网站的时候，它又能够读出这些信息，这样这样WEB程序就能知道该用户上次的操作程序就能知道该用户上次的操作 Cookie大大提高了用户体验，被广泛使用大大提高了用户体验，被广泛使用LOGOCookie的安全vCookie的欺骗的欺骗 Cookie是纯客户端数据，非常容易伪造是纯客户端数据，非常容易伪造 文件型的文件型的Cookie可以直接改浏览器的可以直接改浏览器的Cookie文件文件 通过通过cur

9、l或或firefox的的LiveHTTPHeaders插件可插件可以轻松伪造各种类型的以轻松伪造各种类型的Cookie数据数据LOGOCookie的安全v使用使用Cookie时应注意的问题时应注意的问题 尽量不要用尽量不要用Cookie明文存储敏感信息明文存储敏感信息 数据加密后保存到客户端的数据加密后保存到客户端的Cookie 为为Cookie设置适当的有效时间设置适当的有效时间LOGOWEB服务器端安全问题v合理的文件权限设置合理的文件权限设置 取消取消WEB用户对用户对apache日志的读权限日志的读权限 nobody有写权限的有写权限的WEB目录取消解析权限目录取消解析权限LOGOWEB服务器端安全问题v信息泄露信息泄露 服务器版本信息泄露服务器版本信息泄露 运行环境遗留测试文件运行环境遗留测试文件 phpinfo.php conn.asp.bak 程序出错泄露物理路径程序出错泄露物理路径 程序查询出错返回程序查询出错返回SQL语句语句 过于详细的用户验证返回信息过于详细的用户验证返回信息LOGOWEB应用扫描器vAppScan 非常专业的商业非常专业的商业WEB应用扫描器应用扫描器 功能强大，准确率高，尤其是跨站脚本和功能强大，准确率高，尤其是跨站脚本和SQL注入的检测注入的检测 扫描速度较慢扫描速度较慢LOGOWEB应