# 常见Web安全漏洞及测试方法【转】

一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。

# 安全测试6项基本原则:

  • 认证:对认证的用户的请求返回

  • 访问控制:对未认证的用户的权限控制和数据保护

  • 完整性:用户必须准确的收到服务器发送的信息

  • 机密性:信息必须准确的传递给预期的用户

  • 可靠性:失败的频率是多少?网络从失败中恢复需要多长时间?采取什么措施来应对灾难性的失败?(个人理解这个地方应该更偏向于容错容灾测试的范畴)

  • 不可抵赖:用户应该能证明接收到的数据来自特定的服务器

# 常见的安全测试内容

  • 权限控制

  • SQL注入

  • URL安全测试

  • XSS(跨站脚本攻击)

  • CSRF(跨站请求伪造)

  • URL跳转漏洞

  • 其他安全方面的考量

# Web应用程序中是什么导致安全性问题呢?

一般有以下几个原因:

  1. 复杂应用系统代码量大、开发人员多、难免出现疏忽。

  2. 系统屡次升级、人员频繁变更,导致代码不一致。

  3. 历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上。

  4. 开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范。

  5. 测试人员经验不足或者没经过专业的安全评估测试就发布上线。

  6. 没有对用户的输入进行验证,举几个例子:

    1)永远不要信任用户的输入,要对用户的输入进行校验

    2)数字型的输入必须是合法的数字

    3)字符型的输入中对编码符号要进行特殊处理

    4)验证所有的输入点,包括GetPostCookie以及其他HTTP

# 安全性测试的常见漏洞及解决办法

# XSS跨站脚本攻击

XSS与SQL注入相似,XSS是通过网页插入恶意脚本,主要用到的技术也是前端的HTML和JavaScript脚本。当用户浏览网页时,实现控制用户浏览器行为的攻击方式。

一次成功的XSS,可以获取到用户的cookie,利用该cookie盗取用户对该网站的操作权限;也可以获取到用户联系人列表,利用被攻击者的身份向特定的目标群发送大量的垃圾信息,等等。

XSS分为三类:存储型(持久性XSS)、反射型(非持久性XSS)、DOM型。

测试方法

在数据输入界面,输入:<script>alert(/123/)</script>,保存成功后如果弹出对话框,表明此处存在一个XSS 漏洞。

或把url请求中参数改为<script>alert(/123/)</script>,如果页面弹出对话框,表明此处存在一个XSS 漏洞。

# SQL注入

SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

SQL注入可能造成的危害有:网页、数据被篡改,核心数据被窃取,数据库所在的服务器被攻击,变成傀儡主机。

例如有些网站没有使用预编译sql,用户在界面上输入的一些字段被添加到sql中,很有可能这些字段包含一些恶意的sql命令。如:password = "1' OR '1'='1";即使不知道用户密码,也能正常登录。

测试方法

在需要进行查询的页面,输入正确查询条件and 1=1等简单sql语句,查看应答结果,如与输入正确查询条件返回结果一致,表明应用程序对用户输入未进行过滤,可以初步判断此处存在SQL注入漏洞

修改建议

  1. 对用户的输入进行校验,可以通过正则表达式,或限制长度;

  2. 对以下关键字进行转换等;

||alert|and|exec|execute|insert|select|delete|update|count|drop|chr|mid|master|truncate|declare|sitename|netuser|xp_cmdshell|or|+|,|like'|and|exec|execute|insert|create|drop|table|from|grant|group_concat|column_name|information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|declare|or|--|+|,|like|//
  1. 不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取;

  2. 不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;

  3. 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。

# URL跳转漏洞

URL跳转漏洞,即未经验证的重定向漏洞,是指Web程序直接跳转到参数中的URL,或者在页面中引入了任意开发者的URL,将程序引导到不安全的第三方区域,从而导致安全问题。

测试方法

  1. 使用抓包工具抓取请求。

  2. 抓取302的url,修改目标地址,查看是否能跳转。

    ps:不过现在很多跳转都加了referer的校验导致攻击者跳转失败。

# 文件上传漏洞

文件上传攻击是指攻击者上传了一个可执行文件到服务器上,并执行。

这种攻击方式是最直接有效的。上传的文件可以是病毒、木马、恶意脚本或者是webshell等等。

Webshell是以aspphpjsp或者cgi等网页文件形式存在的一种命令执行环境,也可以说是一种网页后门。攻击者在受影响系统防止或插入webshell后,可以通过webshell方便进入系统,达到控制网站服务器的目的。

测试方法

  1. 对上传的文件类型、大小等进行严格校验,禁止上传恶意代码的文件。

  2. 对相关目录的执行权限进行校验,可以通过浏览器访问Web 服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,则可能存在安全问题。

# CSRF跨站伪造请求攻击

CSRF,利用已登录的用户身份,以用户的名义发送恶意请求,完成非法操作。

例如:用户如果浏览并信任了存在CSRF漏洞的网站A,浏览器产生了相应的cookie,用户在没有退出该网站的情况下,访问了危险网站B 。

危险网站B要求访问网站A,发出一个请求。浏览器带着用户的cookie信息访问了网站A,因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求,所以就会处理危险网站B的请求,这样就完成了模拟用户操作的目的。这就是CSRF攻击的基本思想。

测试方法

  1. 同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功,如果仍然能操作成功即存在风险。

  2. 使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登录界面。

# 总结

  1. 永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式或限制长度;对单引号和双-进行转换等。

  2. 永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

  3. 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

  4. 不要把机密信息直接存放,加密或者Hash掉密码和敏感的信息。

  5. 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。

  6. SQL注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用SQL注入检测工具jskyMDCSOFT SCAN等。采用MDCSOFT - IPS可以有效的防御SQL注入、XSS攻击等。

原文链接 (opens new window)