WEB安全测试培训.ppt

WEB安全培训 更多软件测试资料尽在road软件测试论坛 知己知彼 百战不殆 Contents 用户输入 1 WEB程序安全问题 2 WEB服务器端安全问题 3 WEB应用扫描器 4 用户的输入 所有用户输入都是非法的 除非被证明不是一半以上的程序安全问题源于缺乏对用户可控数据的处理程序员如果本着人之初性本善的想法 那么写的程序难免出问题 用户输入 直接输入GETPOSTCookieHTTP头环境变量间接输入数据库取出的数据编码的用户数据 WEB程序安全问题 SQL注入跨站脚本UrlRedirect跳转AccessControl越权访问 SQL注入 SQL注入简介拼接的SQL字符串改变了设计者原来的意图 执行了如泄露 改变数据等操作 甚至控制数据库服务器拼接SQL字符串灵活方便 但是容易导致安全问题 SQL注入 SQL注入原理 http victim news php id 3721 select fromnewswhereid id select fromnewswhereid 3721 SQL注入利用 利用示例 http victim news php id 0unionselectname pwfromusers select fromnewswhereid id select fromnewswhereid 0unionselectname pwfromusers SQL注入的危害 泄露敏感信息攻击者可以获取后台数据库的种类 版本 操作系统信息 数据库名 表名 字段名以及数据库中的数据信息泄露敏感信息无需知道口令就能以用户身份登陆应用系统篡改敏感数据对数据库进行增加 删除 篡改的操作执行任意系统命令利用数据库支持的特定功能 执行任意命令 SQL注入的危害 不同的数据库 不同的数据库配置 危害程度不一样SQLServer默认配置并且使用sa帐号MySQL版本 数据库root帐号 系统root用户启动服务 SQL注入 避免SQL注入过滤拼接字符串中的用户数据 尤其不能忽视间接输入数据的SQL语句拼接如果可能 使用其他方法代替SQL语句拼接使用WEB应用扫描器检测程序相对比较明显的SQL注入问题 跨站脚本 跨站脚本简介跨站脚本 Cross SiteScripting 是指远程WEB页面的html代码可以插入具有恶意目的的数据 当浏览器下载该页面 嵌入其中的恶意脚本将被解释执行 从而对客户端用户造成伤害 简称CSS或XSS不影响服务端程序 但影响客户端 跨站脚本 请求 跨站脚本危害 窃取Cookiedocument cookie页面内容被篡改Js代码改写 跳转页面蠕虫Myspace新浪微博恶意代码 跨站脚本防御 显示用户数据时对 等HTML符号进行编码转换htmlspecialchars过滤必要的XHTML属性及各种编码 尤其在WEB提供样式功能的时候设计时要考虑到关键内容不能由用户的直接数据显示 要有转换或后台间接审核的过程用WEB应用扫描器对程序进行检测 UrlRedirect跳转 UrlRedirect钓鱼攻击原理redirect htm target URL跳转攻击 QQ QQ用户 URL跳转攻击 UrlRedirect策略目标地址应限制跳转到当前域内如果需要跳转到外部链接需要有url的白名单 AccessControl AccessControl攻击例子 前台代码 AccessControl AccessControl攻击例子 后台代码 publicbooleancanManageMssage if isAdmin returntrue 检查了角色但是短消息属于用户 不属于角色 AccessControl AccessControl安全策略权限框架SQL语句条件 Cookie的安全 简介Cookie是Netscape的一个重大发明 当用户访问网站时 它能够在访问者的机器保存一段信息 可以用来标识各种属性 当用户再次访问这个网站的时候 它又能够读出这些信息 这样WEB程序就能知道该用户上次的操作Cookie大大提高了用户体验 被广泛使用 Cookie的安全 Cookie的欺骗Cookie是纯客户端数据 非常容易伪造文件型的Cookie可以直接改浏览器的Cookie文件通过curl或firefox的LiveHTTPHeaders插件可以轻松伪造各种类型的Cookie数据 Cookie的安全 使用Cookie时应注意的问题尽量不要用Cookie明文存储敏感信息数据加密后保存到客户端的Cookie为Cookie设置适当的有效时间 WEB服务器端安全问题 合理的文件权限设置取消WEB用户对apache日志的读权限nobody有写权限的WEB目录取消解析权限 WEB服务器端安全问题 信息泄露服务器版本信息泄露运行环境遗留测试文件phpinfo phpconn asp bak程序出错泄露物理路径程序查询出错返回SQL语句过于详细的用户验证返回信息 WEB应用扫描器 AppScan非常专业的商业WEB应用扫描器功能强大 准确率高 尤其是跨站脚本和SQL注入的检测扫描速度较慢 WEB应用扫描器 WebInspect相比AppScan 功能毫不逊色 抓URL的能力更强安装需要SQLServer 比较麻烦 WEB应用扫描器 AcunetixWebVulerabilityScanner轻量级速度快自由度大 ThankYou