Web安全测试规范方案

《Web安全测试规范方案》由会员分享，可在线阅读，更多相关《Web安全测试规范方案（89页珍藏版）》请在装配图网上搜索。

1、.DKBA华为技术有限公司内部技术规范DKBA 2355-2009.7Web应用安全测试规范V1.42009年7月5日发布 2009年7月5日实施华为技术有限公司Huawei Technologies Co., Ltd.版权所有 侵权必究All rights reserved.修订声明Revision declaration本规范拟制与解释部门：安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件：Web应用安全开发规范相关国际规范或文件一致性：OWASP Testing Guide v3信息安全技术信息安全风险评估指南Informati

2、on technology Security techniques Management of information and communications technology securityISO 13335替代或作废的其它规范或文件：无相关规范或文件的相互关系：本规范以Web应用安全开发规范为基础、结合Web应用的特点而制定。版本号主要起草部门专家主要评审部门专家修订情况V1.1安全解决方案：赵武、吕晓雨56987、王欢00104062业务与软件测试部系统部：孟咏喜00137435安全解决方案：刘海军、吴宇翔、吴海翔、杨光磊、宋柳松、梁业金、姜凡业务与软件：何伟祥、刘高峰、龚连阳、许汝

3、波、王娟娟、龚小华、王向辉、李磊、杨晓峰网络解决方案验证部：张喆核心网：车广芳、苏三、刘京、冻良V1.2何伟祥33428刘高峰、吴宇翔、杨光磊、王欢、胡坤红、张伟、孟咏喜、成庆华、黎迎斌、周鹏、张喆、文XX、张理、姜永章、苏燕鲁增加Web Service、上传、下载、控制台等方面的测试规范,更正V1.1一些描述不准确的测试项V1.3何伟祥00162822刘高峰、胡坤红、张伟增加会话固定、审计日志、DWR的安全测试规范,完善验证码安全测试的方法。V1.4刘振南 00264924胡坤红、张伟、宋飞、夏成林、王欢、沈海涛、钱育波、石功新增以下内容：3.3.5SEC_Web_ DIR_05_02版本控

4、制软件SVN备份文件测试 3.5.8 会话标识随机性测试 3.6.3 跨站伪造请求测试 3.9.2 LDAP注入测试 3.9.5 回车换行符CRLF注入测试 3.9.6 XML注入测试 3.13 SEC_Web_SERVICE_02 Web Service测试 3.15 HTML5安全测试 3.16 FLASH安全配置测试 3.17.3 WEB部署与管理测试 3.17.4 Struts2框架测试 5.2 HTML5新增标签目 录 Table of Contents1概述91.1背景简介91.2适用读者91.3适用范围91.4安全测试在IPD流程中所处的位置101.5安全测试与安全风险评估的关系

5、说明101.6注意事项111.7测试用例级别说明112测试过程示意图123WEB安全测试规范133.1自动化Web漏洞扫描工具测试13AppScan application扫描测试14AppScan Web Service 扫描测试153.2服务器信息收集15运行帐号权限测试15Web服务器端口扫描16HTTP方法测试16HTTP PUT方法测试17HTTP DELETE方法测试18HTTP TRACE方法测试19HTTP MOVE方法测试20HTTP COPY方法测试20Web服务器版本信息收集213.3文件、目录测试22工具方式的敏感接口遍历22Robots方式的敏感接口查找24Web服务

6、器的控制台25目录列表测试27文件归档测试293.4认证测试30验证码测试30认证错误提示31锁定策略测试32认证绕过测试33找回密码测试33修改密码测试34不安全的数据传输35强口令策略测试363.5会话管理测试37身份信息维护方式测试37Cookie存储方式测试38用户注销登陆的方式测试38注销时会话信息是否清除测试39会话超时时间测试40会话定置测试40会话标识携带41会话标识随机性测试423.6权限管理测试46横向测试47纵向测试49跨站伪造请求测试543.7文件上传下载测试56文件上传测试56文件下载测试573.8信息泄漏测试59连接数据库的帐号密码加密测试59客户端源代码敏感信息测

7、试59客户端源代码注释测试60异常处理60HappyAxis.jsp页面测试62Web服务器状态信息测试63不安全的存储633.9输入数据测试64SQL注入测试64LDAP注入测试66MML语法注入66命令执行测试67回车换行符CRLF注入测试68XML注入测试703.10跨站脚本测试73GET方式跨站脚本测试73POST方式跨站脚本测试74URL跨站脚本测试753.11逻辑测试763.12搜索引擎信息收集763.13Web Service测试773.14DWRDirect Web Remoting测试813.15HTML5安全测试83跨域资源共享测试83Web客户端存储安全测试86WebWo

8、rker安全测试893.16FLASH安全配置测试903.17其他91日志审计91class文件反编译测试92WEB部署与管理测试92Struts2框架测试934APPSCAN测试覆盖项说明955附件965.1本规范所涉及的测试工具965.2HTML5新增标签96结构标签96多媒体标签97Web应用标签97其他标签97Web安全测试规范缩略语清单缩略语全称CRLFrn回车换行LDAPLightweightDirectoryAccessProtocol 轻量级目录访问协议MMLman-machine language 人机交互语言SessionID标志会话的IDWeb ServiceWeb服务是

9、一种面向服务的架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。SOAPSimple Object Access Protocol 简单对象访问协议XSSCross Site Scripting 跨站脚本CSRFCross Site Request Forgery 跨站请求伪造1 概述1.1 背景简介在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破坏不断增多,在线安全面临日益严峻的挑战,安全风险达到了前所未有的高度。为了规避Web安全风险、规范Web安全开发,公司已经制定并发布了Web 应用安全开发规范；但如何系统的进行

10、Web安全性测试,目前缺少相应的理论和方法支撑。为此,我们制定Web 安全测试规范,本规范可让测试人员针对Web常见安全漏洞或攻击方式,系统的对被测Web系统进行快速安全性测试。1.2 适用读者本规范的读者及使用对象主要为Web相关的测试人员、开发人员、专职的安全测试评估人员等。1.3 适用范围本规范主要针对基于通用服务器的Web应用系统,其他Web系统也可以参考,如基于嵌入式系统的Web维护接口等。如下图例说明了一种典型的基于通用服务器的Web应用系统：Web应用应用服务器 Uniportal JBoss 客户端Web服务器 IIS Apache 数据库服务器 Oracle DB2 本规范中

11、的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最佳安全实践,涵盖Web安全开发规范的内容。1.4 安全测试在IPD流程中所处的位置一般建议在TR4前根据产品实现架构及安全需求,完成Web安全性测试需求分析和测试设计,准备好Web安全测试用例。在TR4版本正式转测试后,即可进行Web安全测试。如果产品质量不稳定,前期功能性问题较多,则可适当推后Web安全测试执行,但最迟不得超过TR5。1.5 安全测试与安全风险评估的关系说明安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性及严重程度。其中威胁Threat是指可能对目标系统造成损害的潜在原因,包括物理环境

12、威胁、人为威胁等。脆弱性也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱点等。外部威胁利用系统的脆弱性达到破坏系统安全运行的目的。本规范所描述的安全测试仅是安全风险评估中的一个活动,对应于安全风险评估过程中的脆弱性识别部分,特别是技术性的脆弱性识别。完整的安全风险评估过程、概念见GB/T 20984-2007信息安全技术信息安全风险评估规范。1.6 注意事项l Web安全测试的执行,对于被测系统,或多或少都会存在一些影响比如性能、垃圾数据,建议只在测试环境中进行；如果一定要在现网运行环境中执行,那么务必配置专门的测试数据,测试执行是应该非常慎重,只能修改或删除这些测试数据,禁止

13、修改、删除现网其他数据。l 本规范最主要目的是为了发现安全弱点,至于发现一个弱点以后更深一步的渗透测试在这里不会涉及。例如针对暴力破解测试,我们只给出验证存在暴力破解漏洞的可能,但不会提供暴力破解的方法。l 本文档中所有提及的测试工具的申请和使用,请遵循公司信息安全相关规定。l 如果是内部试验环境进行测试,可以考虑去除一些防护措施或设备如防火墙,这样能保证发现问题的全面性。l 本文档根据最严格的方式对目标进行测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试。例如密码策略测试项中,测试人员可以根据测试目标的密码位数要求进行测试,而不需要完全依照测试项里面规

14、定的位数进行测试。1.7 测试用例级别说明一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系：危害程度发生概率高中低高高高中中高中低低中低低 表1 风险等级界定表本测试规范用例根据上面的定义分为四个测试级别：测试用例级别说明1基本：该类用例涉及可能导致风险程度为高的安全漏洞,在任何情况下都必须进行测试。2重要：该类用例涉及可能导致风险程度为中的安全漏洞,在条件允许时间、人力充沛情况下必须进行测试。3一般：该类用例涉及可能导致风险程度为低的安全漏洞,测试结果可能对其他测试有帮助。测试与否根据业务系统的重要性来判断。4生僻：该类用例涉及可能导致风险程度为极低的安全漏洞,攻击者只

15、能收集到很少且无关紧要的信息。一般情况下不建议进行测试。 表2 测试级别说明表2 测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑：比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点包括HTTP头,参数,cookies等；在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。造成的影响主动模式被动模式 初始

16、化 完成Web结构获取权限测试归档测试参数分析异常处理注入测试命令执行文件包含跨站脚本信息窃取备份文件后台查找目录列表会话管理信息泄漏数据破坏拒绝服务信息获取熟悉业务逻辑Google Hacking接口测试认证测试暴力破解认证绕过逻辑处理越权操作身份仿冒日志检查拒绝服务上传下载3 Web安全测试规范3.1 自动化Web漏洞扫描工具测试自动化扫描工具只能检测到部分常见的漏洞如跨站脚本、SQL注入等,不是针对用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。Web目前分为application和

17、Web service两部分。Application指通常意义上的Web应用,而Web service是一种面向服务的架构的技术,通过标准的Web协议如HTTP、XML、SOAP、WSDL提供服务。3.1.1 AppScan application扫描测试编号SEC_Web_TOOL_01测试用例名称AppScan application 扫描测试测试目的利用自动化的Web安全扫描工具AppScan进行扫描,以发现Web应用中存在的常见漏洞用例级别1测试条件1、 已知Web服务器域名或IP地址2、 Web业务运行正常3、 测试用机上安装了AppScan执行步骤1、 双击运行AppScan,选择

18、filenew新建扫描,选择扫描模板default2、 弹出扫描配置对话框,选择扫描类型,默认为Web Application Scan,点击next3、 在Starting URL中填入需扫描的目标服务器域名或IP地址,其他配置不需修改,点击next4、 选择No Login,点击next5、 不需修改任何参数,点击next6、 不需修改参数,选择Start a full automatic scan,点击finish完成配置,开始扫描7、 扫描完成,保存扫描结果,并对结果进行分析预期结果经过对扫描结果分析,确认不存在中等等级及以上级别的漏洞。备注注意：该用例的执行对被测系统的性能影响比较大

19、,而且可能导致一些垃圾数据,建议只在测试环境执行。由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对所有的结果进行人工的分析判断。分析过程参考以下章节的测试项,使用辅助工具或者是手动验证。业界常用的自动化扫描工具还有WebInspcet,NStalker,Acunetix Web Vulnerability Scanner。在有条件的情况下,可以综合使用。测试结果3.1.2 AppScan Web Service 扫描测试编号SEC_Web_ TOOL_02测试用例名称AppScan Web Service 扫描测试测试目的利用自动化的Web安全扫描工具AppScan进行扫描,以

20、发现Web Service中存在的漏洞用例级别1测试条件1、 已知Web服务器域名或IP地址2、 Web业务运行正常3、 目标系统使用了Web Service服务4、 测试用机上安装了AppScan执行步骤1、 双击运行AppScan,选择filenew新建扫描,选择扫描模板default2、 弹出扫描配置对话框,选择扫描类型,默认为Web Service Scan,点击next3、 在Starting URL中填入需扫描的目标服务器域名或IP地址,其他配置不需修改,点击next4、 不需修改任何参数,点击next5、 不需修改任何参数,点击Finish完成配置,开始扫描6、 扫描完成,保存扫

21、描结果,并对结果进行分析预期结果经过分析确认以后的扫描结果中不存在信息提示以上等级的漏洞。备注注意：该用例的执行对被测系统的性能影响比较大,而且可能导致一些垃圾数据,建议只在测试环境执行。由于自动化工具在很多情况下只是提示一种漏洞存在的可能,因此需要对所有的结果进行人工的分析判断。测试结果3.2 服务器信息收集3.2.1 运行帐号权限测试编号SEC_Web_ SERVERINFO_01测试用例名称运行帐号权限测试测试目的运行Web服务器的操作系统帐号权限越高,那么Web遭到攻击产生的危害就越大。因此,不应使用root、administrator、等特权帐号或高级别权限的操作系统帐号来运行Web

22、,应该尽可能地使用低级别权限的操作系统帐号。用例级别1测试条件1、 已知Web网站IP地址和OS登陆帐号、密码执行步骤1、 登陆Web服务器操作系统2、 查看运行Web服务器的操作系统帐号,不是root、administrator等特权帐号或高级别权限帐号,如果是则存在漏洞。 window：打开任务管理器,选择进程页,勾选左下方的显示所有用户的进程,检查运行Web服务器的帐号； unix：使用ps ef|grep java命令,返回结果第一列的操作系统用户就是运行Web服务器的帐号；预期结果没有使用root、administrator等特权操作系统帐号运行Web。备注测试结果3.2.2 Web

23、服务器端口扫描编号SEC_Web_SERVERINFO_02测试用例名称Web服务器端口扫描测试目的有时Web应用服务器除业务端口外还会开放一些默认端口如Jboss开放的8083,这些默认端口对最终用户是不需要开放的,而且也不会用于维护,容易被攻击,本测试目的在于发现服务器上未使用的Web端口。用例级别1测试条件1、 已知Web服务器域名或IP地址,假设IP地址为2、 测试用机安装了nmap,假设路径为d:nmap执行步骤1、 打开命令提示符,切换到nmap路径下,输入cd /d d:nmap2、 运行nmap n P0 sS sV p1-65535 oX scan_report.xml 3、

24、 使用浏览器打开scan_report.xml4、 观察结果,看是否为必须开放的Web服务端口。预期结果系统未开放业务不需要使用的端口。备注各种参数扫描请参考利用nmap进行端口扫描测试结果3.2.3 HTTP方法测试编号SEC_Web_ SERVERINFO_03测试用例名称开放HTTP方法测试测试目的有些Web服务器默认情况下开放了一些不必要的HTTP方法如DELETE、PUT、TRACE、MOVE、COPY,这样就增加了受攻击面。用例级别1测试条件1、 已知Web网站IP地址及Web访问端口2、 Web业务正常运行执行步骤1、 点击开始运行,输入cmd并回车,运行cmd.exe2、 输入

25、telnet IP端口 其中IP和端口按实际情况填写,用空格隔开3、 回车4、 在新行中输入如下一行,并回车OPTIONS / HTTP/1.05、 观察返回结果中的Allow的方法列表返回结果样例：HTTP/1.1 200 OKServer: Apache-Coyote/1.1X-Powered-By: Servlet 2.4; JBoss-.GA /Tomcat-5.5Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONSContent-Length: 0Date: Mon, 29 Jun 2009 08:02:47 GMTConnectio

26、n: close如果返回结果中包含不安全的HTTP方法DELETE、PUT、TRACE、MOVE、COPY,则验证这些防范是否可用参考6、 如果方法可用则说明存在漏洞,测试不通过。预期结果不包含不安全的HTTP方法如DELETE、PUT、TRACE、MOVE、COPY备注由于不同的Web服务器支持的HTTP协议版本不同,如果系统不支持HTTP/1.0,那么步骤4返回 HTTP/1.0 400 Bad Request；这种情况下,应该更改步骤4的输入行为OPTIONS / HTTP/1.1测试结果3.2.4 HTTP PUT方法测试编号SEC_Web_ SERVERINFO_04测试用例名称HT

27、TP PUT方法测试测试目的有些Web服务器开放了PUT方法,攻击者能够通过该方法上传任意文件到Web服务器的一些目录中去。包括Web木马程序。用例级别1测试条件1、 已知Web网站IP地址2、 Web业务正常运行执行步骤1、 点击开始运行,输入cmd并回车,运行cmd.exe2、 输入telnet IP端口 其中IP和端口按实际情况填写,用空格隔开,比如：telnet 10.70.100.171 80803、 回车4、 在新行中拷贝并粘贴以下蓝色内容,然后回车PUT /alert.txt HTTP/1.0Content-Length: 16Hacker accessed!备注：其中/aler

28、t.txt可以根据实际应用路径构造,比如/rbt/alert.txt5、 打开IE访问http:/:8080/alert.txt6、 如果响应的页面,显示内容是Hacker accessed!,则说明文件已创建,Web服务器开放了PUT方法,存在严重安全漏洞。预期结果访问不到内容为Hacker accessed!的alert.txt文件备注1、由于不同的Web服务器支持的HTTP协议版本不同,如果系统不支持HTTP/1.0,那么步骤4返回 HTTP/1.0 400 Bad Request；这种情况下,应该更改步骤4的输入行为PUT /alert.txt HTTP/1.12、如果Web服务器上运

29、行着多个Web应用,比如：http:/:8080/application1/http:/:8080/application2/http:/:8080/application3/那么,必须这些应用分别进行测试,只需要在步骤4中修改路径部分,例如：PUT /application3/alert.txt HTTP/1.0Content-Length: 16Hacker accessed!测试结果3.2.5 HTTP DELETE方法测试编号SEC_Web_ SERVERINFO_05测试用例名称HTTP DELETE方法测试测试目的有些Web服务器开放了DELETE方法,攻击者能够通过该方法删除We

30、b服务器上的文件。用例级别1测试条件1、 已知Web网站IP地址2、 Web业务正常运行3、 Web网站存在/alert.txt文件如果没有,手工创建执行步骤1、 点击开始运行,输入cmd并回车,运行cmd.exe2、 输入telnet IP端口 其中IP和端口按实际情况填写,用空格隔开,比如：telnet 10.70.100.171 80803、 回车4、 在新行中输入如下一行,并回车DELETE /alert.txt HTTP/1.05、 查看Web服务器上alert.txt是否被删除预期结果Web服务器上alert.txt文件依然存在备注1、由于不同的Web服务器支持的HTTP协议版本不

31、同,如果系统不支持HTTP/1.0,那么步骤4返回 HTTP/1.0 400 Bad Request；这种情况下,应该更改步骤4的输入行为DELETE /alert.txt HTTP/1.12、如果Web服务器上运行着多个Web应用,比如：http:/:8080/application1/http:/:8080/application2/http:/:8080/application3/那么,必须这些应用分别进行测试,只需要在步骤4中修改路径部分,例如：DELETE /application3/alert.txt HTTP/1.1测试结果3.2.6 HTTP TRACE方法测试编号SEC_We

32、b_ SERVERINFO_06测试用例名称HTTP TRACE方法测试测试目的有些Web服务器开放了TRACE方法主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息,攻击者能够通过该方法构造跨站攻击。用例级别1测试条件1、 已知Web网站IP地址2、 Web业务正常运行执行步骤1、 点击开始运行,输入cmd并回车,运行cmd.exe2、 输入telnet IP端口 其中IP和端口按实际情况填写,用空格隔开,比如：telnet 10.70.100.1 803、 回车4、 在新行中输入如下一行,并回车TRACE /HTTP/1.05、 观察返回结果预期结果Web服务器的

33、返回信息提示Trace方法not allowed备注由于不同的Web服务器支持的HTTP协议版本不同,如果系统不支持HTTP/1.0,那么步骤4返回 HTTP/1.0 400 Bad Request；这种情况下,应该更改步骤4的输入行为TRACE /HTTP/1.1测试结果3.2.7 HTTP MOVE方法测试编号SEC_Web_ SERVERINFO_07测试用例名称HTTP MOVE方法测试测试目的有些Web服务器开放了MOVE方法,用于请求服务器将指定的页面移到另一个网络地址,该方法不安全,容易被利用。用例级别1测试条件1、 已知Web网站IP地址2、 Web业务正常运行执行步骤1、 点

34、击开始运行,输入cmd并回车,运行cmd.exe2、 输入telnet IP端口 其中IP和端口按实际情况填写,用空格隔开,比如：telnet 10.70.100.1 803、 回车4、 在新行中输入如下一行,并回车MOVE /test/a.html /a.html HTTP/1.05、 观察返回结果预期结果Web服务器的返回信息提示MOVE方法not supported备注由于不同的Web服务器支持的HTTP协议版本不同,如果系统不支持HTTP/1.0,那么步骤4返回 HTTP/1.0 400 Bad Request；这种情况下,应该更改步骤4的输入行为MOVE /test/a.html /

35、a.html HTTP/1.1测试结果3.2.8 HTTP COPY方法测试编号SEC_Web_ SERVERINFO_08测试用例名称HTTP COPY方法测试测试目的有些Web服务器开放了COPY方法,用于请求服务器将指定的页面拷贝到另一个网络地址,该方法不安全,容易被利用。用例级别1测试条件1、 已知Web网站IP地址2、 Web业务正常运行执行步骤1、 点击开始运行,输入cmd并回车,运行cmd.exe2、 输入telnet IP端口 其中IP和端口按实际情况填写,用空格隔开,比如：telnet 10.70.100.1 803、 回车4、 在新行中输入如下一行,并回车COPY /tes

36、t/a.html /a.html HTTP/1.05、 观察返回结果预期结果Web服务器的返回信息提示COPY方法not supported备注由于不同的Web服务器支持的HTTP协议版本不同,如果系统不支持HTTP/1.0,那么步骤4返回 HTTP/1.0 400 Bad Request；这种情况下,应该更改步骤4的输入行为COPY /test/a.html /a.html HTTP/1.1测试结果3.2.9 Web服务器版本信息收集编号SEC_Web_ SERVERINFO_09测试用例名称Web服务器版本信息收集测试目的一些情况下,Web服务器能通过隐藏或者修改banner信息的方式防止

37、黑客攻击。这时候我们需要使用不依靠服务器Server标题头的扫描方式进行服务器类型、版本判断。用例级别4测试条件1、 Web业务运行正常2、 已知Web服务器域名或IP地址3、 测试用机安装了httprintWindows环境执行步骤1、 运行Httprint_gui.exe2、 在Host列中输入主机域名如果没有域名则输入IP地址,在端口列中输入端口号。如果为HTTPS则要选择锁图标下面的选择框。3、 点击程序下方的运行按钮4、 观察程序输出的结果预期结果不能够得到Web服务器准确的版本信息备注测试结果3.3 文件、目录测试3.3.1 工具方式的敏感接口遍历编号SEC_Web_DIR_01测

38、试用例名称工具方式的敏感接口遍历测试目的网站目录查找是进行攻击的必备知识,只有知道了目录信息才能确定攻击的目标,进行目录查找是测试的首要阶段,一般扫描工具进行扫描前首先要进行目录查找。其次对于某些隐藏的管理接口目录或文件,虽然没有对外有明显的链接,但是通过一系列有特定含义的枚举是可以访问的。用例级别2测试条件1、 Web业务运行正常2、 已知目标网站的域名或IP地址3、 测试用机上需安装JRE4、 测试用机上有DirBuster软件执行步骤1、 双击运行DirBuster.jar2、 在host栏中填入目标IP地址或域名,在Port栏中输入服务器对应的端口；如果服务器只接受HTTPS请求,则需

39、要选择Protocol为HTTPS3、 在file with list of dirs/files 栏后点击browse,选择破解的字典库为4、 将File extension中填入正确的文件后缀,默认为php,如果为jsp页面,需要填入jsp5、 其他选项不变,点击右下角的start,启动目录查找6、 观察返回结果,可点击右下角的report,生成目录报告预期结果经过分析以后的结果中,业务系统不存在不需要对外开放的敏感接口,或者该接口进行了完善的权限控制。备注举一个测试不通过的例子：TypeFoundResponseFile/admin/adduser.jsp200测试结果3.3.2 Rob

40、ots方式的敏感接口查找编号SEC_Web_ DIR_02测试用例名称Robots方式的敏感接口查找测试目的为了防止搜索引擎的爬虫访问敏感的目录接口,服务器上可能会编辑一个robots.txt文件,内容为需要保护的文件或目录名称。直接访问robots.txt文件能够获取一些可能的敏感接口用例级别2测试条件1、 Web业务运行正常2、 已知待测目标URL,假设为执行步骤1、 尝试访问2、 观察返回结果预期结果通过robots.txt文件不能获取敏感的目录或文件信息。备注敏感目录举例：/employee/salary_files/敏感文件举例：/sys_manager/setup.jsp测试结果3

41、.3.3 Web服务器的控制台编号SEC_Web_DIR_03测试用例名称Web服务器的控制台测试目的检查是否部署了Web服务器的控制台,控制台是否存在默认帐号、口令,是否存在弱口令。用例级别1测试条件1、 Web业务运行正常2、 已知目标网站的域名或IP地址3、 已知Web服务器版本信息执行步骤1、 根据Web服务器的版本信息,通过google查询其对应的控制台URL地址和默认的帐号、口令。以下列出一些常见的Web服务器控制台URL地址和默认帐号、口令：Tomcat控制台URL：Tomcat控制台默认帐号admin,默认密码tomcat或admin或空Tomcat控制台默认帐号tomcat,

42、默认密码tomcatJboss控制台URL：Jboss控制台URL：Jboss控制台默认无须登陆,或者admin/adminWebSphere控制台URL：WebSphere默认帐号admin,默认密码adminWebLogic控制台URL：http:/console/ 一般console的端口为7001WebLogic默认帐号weblogic,默认密码weblogicApache控制台URL：Axis2控制台URL：Axis2控制台默认口令帐户：admin/axis2iSAP控制台URL：iSAP控制台默认的帐号和密码：admin/adminVirgo控制台URL：Virgo控制台默认的帐号

43、和密码：admin/springsourceuniportal控制台URL：uniportal控制台默认的帐号和密码：admin/uniportalResin3.0控制台URL：Resin3.1及更新版本的控制台URL：Resin的控制台应该限制只能本机访问,也就是只能从安装本resin服务器的机器上访问对应resin的控制台普元管理控制台URL：普元管理控制台默认的帐号和密码：sysadmin/0000002、 在浏览器地址栏中输入Web服务器对应的URL。由于不同的应用可能目录有所差异,如果访问不到,可以登陆后台服务器以find命令查找,比如find / -name *console*,f

44、ind / -name *admin*,看看实际的URL应该是什么,再次尝试。3、 检查是否存在Web服务器控制台4、 如果存在控制台,使用默认帐号、口令登录,弱口令登录,查看是否登录成功,如果可以则存在漏洞。预期结果不存在Web服务器控制台,或者存在控制台但有强口令。备注弱口令例子：123、123456、abc、huawei、admin、tellin、isap、scp等；另外,和用户名相同或非常接近的口令也属于弱口令,比如用户名为tomcat,口令为tomcat1。测试结果3.3.4 目录列表测试编号SEC_Web_ DIR_04测试用例名称目录列表测试测试目的目录列表能够造成信息泄漏,而且

45、对于攻击者而言是非常容易进行的。所以在测试过程中,我们应当找出所有的目录列表漏洞。用例级别1测试条件1、 Web业务运行正常2、 已知目标网站的域名或IP地址3、 测试用机上需安装JRE4、 测试用机上有DirBuster软件执行步骤1、 双击运行DirBuster-.jar2、 在host栏中填入目标IP地址或域名,在Port栏中输入服务器对应的端口；如果服务器只接受HTTPS请求,则需要选择Protocol为HTTPS3、 在file with list of dirs/files 栏后点击browse,选择破解的字典库为：4、 去除Burte Force Files选项5、 其他选项不变

46、,点击右下角的start,启动目录查找6、 依次右击Response值为200的行,在出现的菜单中点击Open In Browser7、 分析结果预期结果所有对目录的访问均不能打印出文件列表。备注测试结果3.3.5 文件归档测试编号SEC_Web_ DIR_05_01测试用例名称文件归档测试测试目的在网站管理员的维护过程中,很多情况下会对程序或者页面进行备份可能是有意的或者是无意的,如ultraedit在修改后会生成文件名加bak后缀的文件。攻击者通过直接访问这些备份的路径可以下载文件用例级别1测试条件1、 拥有运行Web服务器的操作系统帐号和口令2、 Web业务运行正常执行步骤1、 登陆后台

47、Web服务器的操作系统2、 以cd命令进入可以通过Web方式访问的目录比如tomcat服务器的$home/webapps目录,jboss服务器的$home/jboss/server/default/deploy目录预期结果可以通过Web方式访问的目录,不存在开发过程包括现场定制中的产生的临时文件、备份文件等。备注测试结果编号SEC_Web_ DIR_05_02测试用例名称版本控制软件SVN备份文件测试测试目的在开发环境时常使用版本控制软件管理代码,常用的有SVN,SVN在管理代码的过程中会自动生成一个名为.svn的隐藏文件夹,svn目录下还包含了以.svn-base结尾的源代码文件副本。但一些

48、网站管理员在发布代码时,不愿意使用导出功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的entries文件,逐步摸清站点结构。用例级别1测试条件1、Web业务运行正常并用SVN进行版本管理2、在生产环境中未删除相关SVN的文件执行步骤1、假设存在这样的目录,如。2、打开浏览器,直接在URL后面加上.svn/entries,查看是否出现目录结构、文件等敏感信息3、假设存在这样的文件,如。打开浏览器,直接在URL后面加上,查看是否出现该jsp文件的源码。预期结果不能访问以下链接获得目录结构和页面源代码等敏感信息备注发现有

49、SVN漏洞后可以用Seay-SVN这个软件把整个Web站点下载下来或在线管理,如图：测试结果3.4 认证测试暴力破解是目前最直接有效的攻击方式,特别对于电信业务来说,很多情况下口令都为6位纯数字,很容易被攻击。本测试项在于检查认证系统对暴力破解的防护性。在以下的一些测试中,围绕能否满足暴力破解进行的设计,未设计直接进行暴力破解的攻击用例。如果需要,测试人员可以使用hydra和AppScan中集成的Authentication Tester工具进行。3.4.1 验证码测试编号SEC_Web_AUTHEN_01测试用例名称验证码测试测试目的查看是否有验证码机制,以及验证码机制是否完善用例级别1测试

50、条件1、 已知Web网站地址2、 Web业务运行正常3、 存在登陆页面执行步骤1、 登陆页面是否存在验证码,不存在说明存在漏洞,完成测试2、 验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞3、 在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞。检测方法：输入错误的用户名或密码、错误的验证码。观察返回信息,是否只提示验证码错误,也就是说当验证码错误时,禁止再判断用户名和密码。4、 验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞,完成测试5、 生成的验证码是否可以通过html源代码查看到

51、,如果可以说明存在漏洞,完成测试6、 生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞,完成测试7、 请求10次观察验证码是否随机生成,如果存在一定的规律例如5次后出现同一验证码说明存在漏洞,完成测试8、 观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色例如只有白色说明存在漏洞,完成测试9、 验证码在认证一次后是否立即失效： 请求登陆页面,得到生成的验证码 开启WebScarab,配置对GET和POST请求进行拦截；并在浏览器中配置代理服务器IP为,端口为8008 填入错误的用户名和口令,填入正确的验证码,提交表单 从WebScarab拦截数据中复制对应登陆请求的P

52、OST或GET消息文本格式,将其中的口令更改一个字符 在命令行中输入telnet ,回车 将修改的内容粘贴到命令行窗口中,回车 判断返回的页面中是否包含验证码错误或类似的提示,如果没有,说明存在漏洞,完成测试预期结果不存在上述漏洞备注本用例根据最严格的方式对目标进行测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试测试结果3.4.2 认证错误提示编号SEC_Web_ AUTHEN_02测试用例名称认证错误提示测试目的为了进行暴力破解,攻击者需要知道已存在的用户名,再对该用户名进行攻击。所以,本测试用于确认目标服务器在处理登陆操作时会提示出具体的信息。用例级

53、别1测试条件1、 已知Web网站地址2、 Web业务运行正常3、 存在登陆页面执行步骤1、 在用户名或其他身份标志的输入框中输入noexists,口令任意2、 若服务器返回提示类似于用户名不存在,则说明存在漏洞,完成测试3、 使用正确的用户名或同功能的身份标志,在口令框中输入noexists4、 若服务器提示类似于密码/口令错误 用户名不存在之类的信息,则说明存在漏洞,完成测试。预期结果服务器不会针对认证错误的情况提示准确的信息。备注测试结果3.4.3 锁定策略测试编号SEC_Web_ AUTHEN_03测试用例名称锁定策略测试测试目的在缺少锁定策略和验证码设计有问题的情况下,攻击者可以通过枚

54、举的方式来进行暴力猜解。本测试用于发现目标系统是否缺少锁定策略。用例级别1测试条件1、 已知Web网站地址2、 Web业务运行正常3、 存在登陆页面执行步骤1、 打开登陆页面2、 在用户名或同功能的身份标志输入框中输入正确的用户名3、 在口令或同功能的口令标志输入框中输入错误的口令4、 在验证码输入框如果有的话中输入正确的验证码5、 提交表单6、 重复15步骤10次7、 判断目标系统返回的信息预期结果目标系统提示帐号已锁定或者IP已锁定或者类似锁定等之类的信息。备注第6步中重复步骤次数视各产品实际情况而定。另外,如果系统存在一些认证接口带认证参数的URL,不是普通登陆页面,那么也需要对认证接口

55、进行失败认证尝试,以测试其锁定策略。测试结果3.4.4 认证绕过测试编号SEC_Web_ AUTHEN_04测试用例名称认证绕过测试测试目的发现目标认证系统是否存在绕过的可能用例级别1测试条件1、 已知Web网站地址2、 Web业务运行正常3、 存在登陆页面执行步骤1、 打开登陆页面2、 在用户名或同功能的身份标志输入框中输入admin or 1=13、 在口令或同功能的口令标志输入框中输入admin or 1=14、 提交表单,观察返回结果预期结果不能够成功登陆。备注如果目标系统采用javascript限制了输入格式,可以通过WebScarab来进行修改。关于WebScarab的使用说明,请

56、参看相关帮助文档。测试结果3.4.5 找回密码测试编号SEC_Web_ AUTHEN_05测试用例名称找回密码测试测试目的网站在密码重设和密码找回功能上如果存在着缺陷,攻击者可以通过此功能找到指定用户的密码,更改指定用户的密码让其不能登陆,造成业务数据修改等。用例级别1测试条件1、 已知Web网站地址2、 Web业务正常运行3、 网站提供密码重设或密码找回的功能4、 已知某正确的用户账号执行步骤1、 打开密码找回功能的页面2、 如果没有对用户的合法身份进行任何验证就发送密码,则说明存在漏洞。3、 系统正常需要用户输入一些能够证明其合法身份的信息比如回答一些原来注册用户时填写的一些信息,比如小学

57、教师姓名等,如果是回答问题的方式,则判断问题是否类似于我的生日或我的姓氏这种答案限定范围非常小的问题。如果是说明存在漏洞,完成测试,否则进行下一步。4、 如果为输入密码的方式,则查看该页的html源代码5、 在html源代码中查看是否存在着可能为密码的数据,如果是,说明存在漏洞6、 用户的密码一般通过用户邮箱或者手机短信的方式来通知用户,如果在返回的Web页面直接显示明文口令,则说明存在漏洞。预期结果密码找回不存在漏洞备注测试结果3.4.6 修改密码测试编号SEC_Web_ AUTHEN_06测试用例名称修改密码测试测试目的如果修改密码功能存在着缺陷,攻击者可以通过此其缺陷修改其他用户的密码。用例级别1测试条件1、 已知Web网站地址2、 Web业务正常运行3、 网站提供修改密码的功能4、 已知某正确的用户账号执行步骤1、 登陆网站2、 进入密码修改页面3、 查看是否必须提交正确旧密码,如果不需要则存在漏洞4、 填写并提交修改密码数据,并以