1、Web安全性測(cè)試,1,基本概念,什么是安全測(cè)試 什么是Web應(yīng)用 Web應(yīng)用安全測(cè)試,2,什么是安全測(cè)試？,我們遵循普通用戶所采取的方法來(lái)測(cè)試應(yīng)用的功能。如果我們不確定與其行為是什么，通常也會(huì)通過(guò)詢問(wèn)別人、閱讀需求或者使用我們的直覺(jué)的方法知道。負(fù)面測(cè)試遵循一些從正面測(cè)試中自然而直接地獲取的原則。我們知道銀行的存款不應(yīng)該是負(fù)值；密碼不應(yīng)該是1MB的JPEG圖片；電話號(hào)碼中不應(yīng)該包含字母。隨著我們對(duì)應(yīng)用進(jìn)行并建立起正面的功能測(cè)試，建立反面測(cè)試就自然而然成為下一步。這與安全測(cè)試有什么關(guān)系？ 安全測(cè)試就是要提供證據(jù)表明，在面對(duì)敵意和惡意輸入的時(shí)候，應(yīng)用仍然能夠充分地滿足他的需求。,3,什么是Web應(yīng)用

2、,Web應(yīng)用具有各種各樣的形式和規(guī)模。他們用各種語(yǔ)言編寫，運(yùn)行在各種操作系統(tǒng)上，已各種方式運(yùn)行。每種Web應(yīng)用的核心在于，它的所有功能都是使用http進(jìn)行通信的，而它的結(jié)果通常是采用html格式。輸入是使用get、post及類似方法進(jìn)行通信的。 Web應(yīng)用是一切使用http進(jìn)行通信的軟件。 注意，要成為Web應(yīng)用，必須執(zhí)行某種業(yè)務(wù)邏輯，輸出中必須存在某種可能的變化，必須做出一些判斷，否則我們實(shí)際上并不是在測(cè)試軟件。,4,Web應(yīng)用安全測(cè)試,通過(guò)功能測(cè)試，我們?cè)O(shè)法向用戶證明這個(gè)軟件可以像宣傳的那樣正常工作。通過(guò)安全測(cè)試，我們?cè)O(shè)法使每個(gè)人確信，即使面臨惡意輸入，它仍然可以想宣傳的那樣正常工作。我們

3、設(shè)法模擬真實(shí)的攻擊和真實(shí)的漏洞，同時(shí)用這些模擬與我們有限的測(cè)試融為一體。 因而，Web安全測(cè)試就是使用多種工具，包括手動(dòng)工具和自動(dòng)工具，來(lái)模擬和激發(fā)我們的Web應(yīng)用活動(dòng)。,5,目標(biāo)與對(duì)象,目標(biāo) 我們的目標(biāo)是找出源代碼本身的缺陷，生成與整體測(cè)試方案融為一體的、可重復(fù)的、可靠的測(cè)試，不過(guò)它們是用于處理Web應(yīng)用安全的。 對(duì)象 我們的測(cè)試對(duì)象是由你編寫，由你操作或者至少由你測(cè)試的軟件源代碼，業(yè)務(wù)邏輯。我們不考慮防火墻、路由器或者IT安全軟件的作用。,6,用于安全測(cè)試的工具介紹,Firebug 對(duì)于測(cè)試web應(yīng)用而言，firebug是最有用的firefox擴(kuò)展。Firebug是web開(kāi)發(fā)和測(cè)試工具中的

4、“瑞士軍刀”。它允許你跟蹤和調(diào)整每一行html、javascript和文檔對(duì)象模型。它會(huì)報(bào)告ajax請(qǐng)求，告訴你載入頁(yè)面需要的時(shí)間并允許你實(shí)時(shí)編輯網(wǎng)頁(yè)。但是他無(wú)法將更改的內(nèi)容保存至服務(wù)器。 OWASP的WebScarab 它是用于測(cè)試web應(yīng)用安全的一款流行的web代理。Web代理對(duì)于截獲瀏覽器和服務(wù)器之間的請(qǐng)求和響應(yīng)來(lái)說(shuō)非常重要。它的安裝需要最新版的java運(yùn)行時(shí)環(huán)境。,7,Perl 他內(nèi)部集成了正則表達(dá)式的功能，以及巨大的第三方代碼庫(kù)CPAN。被認(rèn)為是編程語(yǔ)言的膠帶。非常有助于安全測(cè)試用例的自動(dòng)化。AcitvePerl帶有Perl Manager工具，供瀏覽、下載和安裝軟件包。 CAL90

5、00 CAL9000將許多安全工具集成在一個(gè)軟件包中，是典型的黑客工具。有助于確定各種類型的測(cè)試和對(duì)這些測(cè)試的執(zhí)行。它的安全是無(wú)法保證的，如果使用不當(dāng)，它會(huì)是非常危險(xiǎn)的工具。,8,用于安全測(cè)試的工具介紹,ViewState Decoder 使用ASP.NET編寫的Web應(yīng)用回事每個(gè)頁(yè)面都包含一個(gè)稱作ViewState的隱藏變量。為了給本來(lái)無(wú)狀態(tài)的HTTP請(qǐng)求增加狀態(tài)，這個(gè)變量維護(hù)者請(qǐng)求之間的數(shù)據(jù)。ViewState Decoder是Windows可執(zhí)行文件，可檢查開(kāi)發(fā)人員的工作站。 cURL 它是一個(gè)命令行程序，支持許多Web協(xié)議組件。可以在沒(méi)有瀏覽器的時(shí)候當(dāng)做瀏覽器使用；市現(xiàn)率列私語(yǔ)瀏覽器的

6、功能，但是可以從任何普通的shell中調(diào)用它。更好地處理cookie、認(rèn)證和web協(xié)議。,9,用于安全測(cè)試的工具介紹,Pornzilla 它是一套有用的Firefox小書簽和擴(kuò)展，提供了大量方便的有助于web安全測(cè)試的工具。如RefSpoof修改HTTP Referer信息，或許能繞過(guò)不安全的登錄機(jī)制；Digger是一個(gè)目錄遍歷工具；Increment和Decrement篡改url參數(shù)。 Cygwin 它使你能夠在windows中使用linux環(huán)境，也是安裝其他工具的必要前提。它缺乏與分區(qū)的、雙啟動(dòng)環(huán)境或虛擬機(jī)有關(guān)的保護(hù)措施，可以訪問(wèn)所有文件和文件夾，可以修改這些文件，而且操作可能是不可取消的

7、。,10,用于安全測(cè)試的工具介紹,Nikto 2 它是使用最廣泛的、開(kāi)源的、可免費(fèi)獲取的web漏洞掃描程序之一。實(shí)際上是一個(gè)Perl腳本，需要在cygwin中運(yùn)行。它可以作為已經(jīng)編寫好的自動(dòng)化腳本，但是它可能無(wú)法發(fā)現(xiàn)大多數(shù)缺陷，就算發(fā)現(xiàn)了問(wèn)題也可能不是問(wèn)題，需要對(duì)其結(jié)果進(jìn)行研究并判斷找到的東西是否有用。 Apache http server 是一個(gè)開(kāi)源的web服務(wù)器，一些高級(jí)的跨站式腳本漏洞攻擊程序以及測(cè)試php包含文件注入需搭建web服務(wù)器。它在運(yùn)行時(shí)，它所掌管的文件可以被任何能夠向你的系統(tǒng)發(fā)送數(shù)據(jù)包的人訪問(wèn)，不適用它時(shí)，最好將其關(guān)閉。,11,用于安全測(cè)試的工具介紹,基本觀察,查看源代碼 有

8、兩項(xiàng)作用；發(fā)現(xiàn)最明顯的安全問(wèn)題；為將來(lái)的測(cè)試建立一個(gè)比較基準(zhǔn)。最常見(jiàn)的web漏洞涉及到向web應(yīng)用提供惡意輸入以修改html源代碼，在測(cè)試這些漏洞時(shí)，驗(yàn)證測(cè)試通過(guò)或失敗最簡(jiǎn)單的方法就是檢查源代碼是否被惡意更改。 對(duì)于更復(fù)雜的源代碼無(wú)法手動(dòng)分析，需要使用view source chart來(lái)應(yīng)對(duì)這種復(fù)雜性的增加。它可以講html標(biāo)簽顯示在層層嵌套的框中，還可以暫時(shí)將其隱藏并禁止搜索?？梢圆榭纯蚣茉氐膆tml代碼，操控框架是一種常見(jiàn)的跨展示腳本攻擊模式。,12,使用firebug觀察實(shí)時(shí)的請(qǐng)求頭 通過(guò)觀察實(shí)時(shí)的請(qǐng)求頭可以精確的了解基于web 的客戶端訪問(wèn)的是哪些頁(yè)面、服務(wù)器和操作。了解客戶端訪問(wèn)的

9、內(nèi)容也能揭示出具有潛在危險(xiǎn)的依賴。 瀏覽器發(fā)出請(qǐng)求，服務(wù)器考慮該請(qǐng)求然后做出回應(yīng)。事實(shí)上盡管你只請(qǐng)求了一個(gè)頁(yè)面，但瀏覽器卻代表你發(fā)送了許多請(qǐng)求，這些額外的請(qǐng)求用于獲取頁(yè)面上的要素，如圖形或樣式表。 廣泛依賴外部資源是一個(gè)警示信號(hào)。請(qǐng)求url還將所有信息包含在查詢字符串中，以來(lái)查詢字符串的正確性也可能是安全錯(cuò)誤。 常見(jiàn)的請(qǐng)求頭變量有host、user-agent、accept、connection等。,13,基本觀察,使用webscarab觀察實(shí)時(shí)的post數(shù)據(jù) Post請(qǐng)求是用于提交復(fù)雜表單最常見(jiàn)的方法。它不同于get取值那樣透過(guò)url來(lái)得知傳遞參數(shù)。它能夠幫助你辨別輸入，包括隱藏域和由運(yùn)行在

10、網(wǎng)頁(yè)瀏覽器中的javascript計(jì)算得到的值。了解各種各樣的輸入類型之后就能夠構(gòu)造合適的安全測(cè)試用例或誤用案例。 Webscarab作為代理能夠揭示在你的瀏覽器和web服務(wù)器之間所有可以被看到的內(nèi)容。它會(huì)保持紀(jì)錄，直到被關(guān)閉。使用webscarab，可以觀察并更改web服務(wù)器發(fā)送給你的一切內(nèi)容。,14,基本觀察,查看隱藏的表單域 開(kāi)發(fā)人員有一些不希望被修改的參數(shù)會(huì)寫在隱藏表單域中，這些域在所呈現(xiàn)的頁(yè)面上是不可見(jiàn)的，但是在頁(yè)面提交時(shí)卻提供了附加的數(shù)據(jù)。 Webscarab會(huì)將這些隱藏表單域與其他所有內(nèi)容一同獲取。對(duì)于測(cè)試人員而言，在界定將哪些輸入作為邊界值測(cè)試和等價(jià)類劃分的候選對(duì)象時(shí)，也應(yīng)該把

11、隱藏域包含進(jìn)來(lái)。 不過(guò)有些隱藏值是由網(wǎng)頁(yè)中的javascript計(jì)算得到的，一次你手動(dòng)輸入的值有可能會(huì)在表單被提交之前被覆蓋，如果這樣的話就需要截獲或修改請(qǐng)求。后續(xù)章節(jié)介紹。,15,基本觀察,觀察實(shí)時(shí)的響應(yīng)頭 響應(yīng)頭是在服務(wù)器發(fā)送頁(yè)面的html代碼之前，從服務(wù)器發(fā)送到瀏覽器的，包含服務(wù)器希望的通信方式，頁(yè)面類型，如截止日期和內(nèi)容類型這樣的元數(shù)據(jù)。 響應(yīng)頭是攻擊者用于查找應(yīng)用特有信息的地方。 請(qǐng)?zhí)貏e注意content-type頭信息，大多數(shù)顯示表示正常的HTML響應(yīng)和編碼，不過(guò)它也可能引用外部應(yīng)用或引起一場(chǎng)的瀏覽器行為。 動(dòng)態(tài)重定向可能會(huì)被攻擊者用來(lái)將惡意網(wǎng)站的鏈接偽裝成你的網(wǎng)站的鏈接，濫用用戶

12、對(duì)你的網(wǎng)站的信任。,16,基本觀察,高亮顯示javascript和注釋 查找漏洞的方法是從html代碼中查看某些被留下的線索，而這類線索主要來(lái)源于開(kāi)發(fā)人員留下的注釋和javascript在線動(dòng)態(tài)行為。 注釋通常會(huì)暴露有關(guān)web應(yīng)用內(nèi)部工作方式的詳細(xì)信息；本地的javascript可以被用戶繞過(guò)或操縱，開(kāi)發(fā)人員期望由網(wǎng)頁(yè)瀏覽器來(lái)凈化數(shù)據(jù)，測(cè)試人員需要確定它們也能保護(hù)服務(wù)器上的應(yīng)用。 最流行的javascript事件包括onclick，onmouseover，onblur，onload，onsubmit，它們通常位于、標(biāo)簽中。,17,基本觀察,修改特定的元素屬性 如果你可以在瀏覽器中實(shí)時(shí)的修改頁(yè)面

13、，那么你就無(wú)需向應(yīng)用本身添加測(cè)試代碼。開(kāi)發(fā)人員通常信任網(wǎng)頁(yè)的內(nèi)容保持變，而違反這一假定可以揭示出安全缺陷。 可以使用firebug編輯頁(yè)面。 實(shí)時(shí)地編輯頁(yè)面有優(yōu)勢(shì)也有劣勢(shì)。如果你刷新或?yàn)g覽到其他頁(yè)面，更改將丟失。它的好處在于你的測(cè)試不需要更改基本代碼，而且不會(huì)干擾后續(xù)測(cè)試；劣勢(shì)在于，對(duì)于再次運(yùn)行同一測(cè)試而言，無(wú)法在firebug中保存這些編輯。,18,基本觀察,數(shù)據(jù)編碼是web應(yīng)用的一項(xiàng)基本組成部分。Web應(yīng)用以無(wú)數(shù)種方法在瀏覽器和服務(wù)器之間傳遞數(shù)據(jù)。根據(jù)數(shù)據(jù)類型、系統(tǒng)需求和編程人員的特定喜好，數(shù)據(jù)可能以多種不同的格式進(jìn)行編碼和封裝。 作為測(cè)試人員，需要進(jìn)行邊界案例測(cè)試并處理那些有趣案例的反面測(cè)試，但是如果你不了解數(shù)據(jù)的格式和用途，你就無(wú)法判斷什么是“有