JiaHe - 家和的学习分享

相遇即是缘

安全测试

安全测试怎么测试

安全测试我们常用的方法是:1,sql 注入 2,xss脚本攻击 3,数据加密 4,权限控制

运用扫描工具 appscan扫描web系统。扫描app的一般用腾讯 wettest等平台测试测试,

前端(web)时我们首先检查检查一下用户的感敏信息有没有进行加密显示,通过Fiddle抓包工具检查一下用户的感敏信息有没有进行加密后传输如:用户密码,相应的银行卡,个人信息等,再到日志中搜索关键信息,搜索到,就泄密,存在安全漏洞,数据库中是否做了加密处理。还有就是把发送请求的数据篡改例如:打开fiddle工具,设置过滤器,设置断点把商城里的支付订单的1000完金额修改成1块钱,再放行发送数据,看是否,支付1块钱,订单支付成功,如果成功则是bug,预期结果是支付金额不对才行,用sql语句注入和xss脚本攻击,把sql语句或xss脚本编缉成csv文档通过 jmeter 工具添加"CSV数据文件设置"来调用里面的语句来在所有的查询位置、所有的接口请求、url请求链接参数中,进行sql语句注入或xss脚本攻击:模拟sql语句xss脚本攻击数据库,看它是否把sql注入代码或xss脚本当成字符处理,如果不是就是bug,再看功能不能正常使用、系统是否崩溃,错误弹出框,界面是否变形。还有在所有可以保存的地方,都添加xss脚本攻击代码,看看是否出现异常。权限控制(用户的校验)校验用户安全认证信息是否正确,如没有权限的界面不能进入,不能提供操作入口或不能通过url直接去访问:例如;把所有需要权限的界面,全部复制一份出来然后退出用户再通过url链接去访问功能如果可以访问,就是bug,如有提示登录,属于正常。还有登陆用户再退出用户后,点击浏览器的后退不能进入原来的界面。

通过 appscan扫描工具去扫描,我们般是这样操作的;

1、启动软件进入主界面->选择创建新的扫

2、在弹出的新建扫描对话框中选择常规扫描;

3、在弹出的扫描配置向导对话框中选择 AppScan(自动或手动),点击下一步;

4、在此页面中填写需要扫描系统的同址,点击下一步:

5、选择登陆方式为记录,点击下一步;

6、完成系统登录操作后,关闭浏览器选择登录管理中的“详细信息”;

7、在“详细信息”中,取消“激活会话中的检测”,同时在“登录会话标识中”,对变量参数值进行跟踪以确保参数的正确处理而获得系统访问权限;

8、把密码修改页面URL、用户权限删除URL等页面添加至排除测试范围,防止 Appscan的请求产生相应影响(防止 Appscan修改密码或删除用户帐号);

9、在“自动表单填充中,填入用户名和密码参数,并填写参数值,其余不做修;

10、如果测试过程中,应用服务出现性能响应过慢的问题,适当调整测试线程数为2~5;

11、测试策路选择为严重性”进行过滤只勾选关注的严重性级别,把“高”、“中”和低”选上,

13、点击确定按钮,结束扫描配置工作;

14、点击扫描按钮,选择“仅探索”, Appscan开始执行探索工作;

15、探索自动结束后,点击“手动探索”按钮,此时,在弹出的E浏览器窗口中登录系统,手工的任意访问系统页面(1-10个),关闭浏览器;

16、在弹出的参数添加窗口中,点击确定按钮”

17、点击扫描按钮,选择“完全扫描”, Appscan开始执行测试工作;

18、测试执行结束后,点击报告按钮,选择关注的测试结果信息,勾选“报告内容”里的所有勾选;

19、保存报告,保存类型建议选择为html;然后分析报告。(只需了解面试尽量不要提及)

appscan的原理是什么

对一个综合性的大型网站来说,可能存在成干上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。 AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网站是否存在安全漏洞。

在使用 AppScan的时候,通过配置网站的URL网址, Appscan会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,即探索出网站的整体结构通过“探索”可确定测试的目标和范围,然后利用 AppScan的扫描规则库,针对发现的每个页面的每个参数,进行安全检查。

简言之, APPScan的工作原理如下:

  1. 通过“探索”功能,利用 Http Request和 Response的内容,爬行出指定网站的整个Web应用结构。
  2. AppScan本身有一个内置的漏洞扫描的规则库,可随版本进行更新,从探索出的url中,修改参数or目录名等方式,构造不同的url对照组向服务器发送请求or攻击。
  3. 根据 Http Response返回的内容,和正常请求所返回的响应作对比,是否产生差异性,而这种差异性又是否符合扫描规则库的设定规则,以此来判断是否存在不同类型的安全洞。
  4. 若 APPScan可判断存在安全漏洞,则对这些漏洞的威胁风验给出说明,进行严重程度提示,并给出修复的建议和方法,以及漏洞发现的位置提示。