文/艾米
什么是安全測試
安全測試(security testing)是測試系統(tǒng)在沒有授權的內部或者外部用戶對系統(tǒng)進行攻擊或者惡意破壞時如何進行處理,是否能夠保證數(shù)據和頁面的安全。
Web攻擊主要類型
1. 跨站腳本(XSS)攻擊
2. SQL注入
3. XML注入
4. 目錄遍歷
5. 上傳下載漏洞攻擊
6. 信息泄露
7. 訪問控制錯誤
Web攻擊主要類型 - 跨站腳本(XSS)攻擊
XSS又叫CCC(Cross Site Script),跨站腳本攻擊疚漆。它指的惡意攻擊者往Web頁面里插入惡意HTML代碼帐要,當瀏覽該頁之時,嵌入其中WEB里的html代碼會被執(zhí)行乒省,從而達到惡意用戶的特殊目的蘑拯。
例:盜取Cookie钝满、釣魚
Web攻擊主要類型 -?SQL注入
將SQL命令人為的輸入到URL、表格域申窘、或者其他動態(tài)生成的SQL查詢語句的輸入參數(shù)中弯蚜,完成SQL攻擊。
例:查詢數(shù)據庫中的敏感內容偶洋、繞過認證熟吏、添加 /刪除/ 修改數(shù)據
Web攻擊主要類型 -XML 注入
和SQL注入原理一樣,XML時存儲數(shù)據的地方玄窝,如果在查詢或修改時牵寺,在沒有做轉義,直接輸入或輸出數(shù)據恩脂,都將導致XML注入漏洞帽氓。攻擊者可以修改XML數(shù)據格式,增加新的XML節(jié)點俩块,對數(shù)據處理流程產生影響黎休。
Web攻擊主要類型 -目錄遍歷
目錄遍歷攻擊是指:惡意用戶找到受限文件的位置并且瀏覽或者執(zhí)行它們。攻擊者瀏覽受限文件玉凯,比如讀取配置文件势腮、密碼文件等,就會破話隱私漫仆,甚至引發(fā)安全問題捎拯,如執(zhí)行了受限文件,攻擊者就可以根據自己的意愿來控制和修改WEB站點盲厌。
例如:
http://***.*****.**/order/zheYongShenQingInfo.do?discountId=364
我們可以嘗試進行攻擊:
http://***.*****.**/order/zheYongShenQingInfo.do?discountId=365
或者嘗試訪問應用服務器的系統(tǒng)目錄:
http://***.*****.**/order/zheYongShenQingInfo.do?discountId=../../../../etc/password
Web攻擊主要類型 -文件上傳
WEB應用程序在處理用戶上傳的文件時署照,沒有判斷文件的擴展名是否在范圍內,或者沒有檢測文件內容的合法性吗浩,就把文件保存在服務器上建芙,甚至上傳腳本木馬到WEB服務器上,直接控制WEB服務器懂扼。
例:?未限制擴展名禁荸、未檢查文件內容、病毒文件
Web攻擊主要類型 -任意文件下載
1. 下載附件等功能
2. Apache 虛擬目錄指向
3. JAVA/PHP讀取文件
4. 下載數(shù)據庫配置文件等
5. 目錄瀏覽
Web攻擊主要類型 -消息泄露
WEB應用程序在處理用戶錯誤請求時,程序在拋出異常的時候給出了比較詳細的內部錯誤信息赶熟,而暴露了不應該顯示的執(zhí)行細節(jié)品嚣,如文件路徑、數(shù)據庫信息钧大、中間件信息、IP地址等罩旋。
例:用戶名輸錯時啊央,提示用戶名錯誤
WEB漏洞掃描工具
1. Web vulnerability scanner
2. WebScarab