WEB安全测试分类及防范测试方法.docx

WEB安全测试分类及防范测试方法1 Web 应用程序布署环境测试21.1HTTP 请求引发漏洞的测试21.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试22 应用程序测试32.1 SQL 注入漏洞测试32.1.1 SQL注入漏洞攻击实现原理32.1.2 SQL注入漏洞防范措施42.1.3 SQL注入漏洞检测方法52.2 表单漏洞测试62.2.1 表单漏洞实现原理62.2.2 表单漏洞防范措施62.2.3 表单漏洞检测方法62.3 Cookie欺骗漏洞测试82.3.1 Cookie欺骗实现原理82.3.2 Cookie欺骗防范措施82.3.3 Cookie欺骗监测方法92.4 用户身份验证测试92.4.1 用户身份验证漏洞防范措施92.4.2 用户身份验证检测方法92.5 文件操作漏洞测试92.5.1 文件操作漏洞实现原理92.5.2 文件操作漏洞防范措施102.5.3 文件操作漏洞检测方法102.6 Session 测试112.6.1 客户端对服务器端的欺骗攻击112.6.2直接对服务器端的欺骗攻击112.6.3 Session漏洞检测方法122.7 跨网站脚本(XSS)漏洞测试132.7.1 跨网站脚本（XSS）漏洞实现原理132.7.2 跨网站脚本（XSS）漏洞防范措施132.7.3 跨网站脚本（XSS）漏洞测试方法142.8 命令注射漏洞测试142.9 日志文件测试142.10 访问控制策略测试142.10.1 访问控制策略测试方法143 数据库问题测试153.1 数据库名称和存放位置安全检测153.2 数据库本身的安全检测153.3 数据使用时的一致性和完整性测试154 容错测试154.1 容错方案及方案一致性测试164.2 接口容错测试164.3 压力测试161 Web 应用程序布署环境测试用来架构Web 网站的UNIX、LINUX、WINDOWS 等服务器端操作系统和服务器软件都可能存在漏洞（如前不久被发现的LINUX 系统内核漏洞），这些漏洞都会对Web 应用程序造成安全威胁。因此，在布署Web 应用程序前，应对Web 应用程序的布署环境进行严格的测试，检查一切已知的漏洞，发现新的漏洞，将应用程序环境带来的安全威胁降底到最低程度。1.1HTTP 请求引发漏洞的测试超长URL 的HTTP 请求，特殊格式字符的HTTP 请求，某些不存在文件的HTTP 请求，COM Internet Services (CIS)– RPC over HTTP 漏洞，从而引发拒绝服务，源代码显示，站点物理路径泄露，执行任意命令及命令注入等安全问题。因此，对非常规URL 的HTTP 请求要做全面的测试，以发现这方面的漏洞。测试工作以人工方式为主，并配以Tripwire和AIDE 的完整性检查工具检查系统文件，对于发现的漏洞，可采取关闭所有不必要的服务和安装系统补丁加固系统。另外要保持对必威体育精装版补丁和安全公告的追踪，在实验环境进行测试后正式安装在布署Web 应用程序的主机上。1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试目录权限和目录安全性直接影响着Web 的安全性。测试中要检查Web 应用程序布署环境的目录权限和安全性，不给恶意用户任何可用的权限。目录遍历可能导致用户从客户端看到或下载、删除Web 服务器文件。因此，要测试Web 应用程序及布署环境是否存在目录遍历问题；若存在该漏洞，可通过在各级目录中存放默认文档或及时升级系统来避免。1.3 系统中危险组件的测试系统中危险组件的存在，会给恶意用户留下非常危险的“后门”。如恶意用户可利用Windows 系统中存在的FileSystemObject 组件篡改、下载或删除服务器中的任何文件。因此，若系统中需要使用这些组件，可将这些组件更名；否则将其删除。1.4 TCP 端口测试开放非必要的端口，会给Web 应用程序带来安全威胁。因此，在布署Web 应用程序前，要用端口扫描软件对布署环境进行TCP 端口测试，禁止UDP，只开启必要的TCP 端口。另外，在系统运行过程中要不断测试，在服务器端使用lsof 工具(For Unix)或者Inzider 工具(For windows)扫描端口使用情况，必要时从远程使用Nmap 工具进行异常端口占用检测。如果发现有未知的进程占用端口，要关闭端口或杀掉进程。2 应用程序测试应用程序中存在的漏洞是影响Web 安全的主要方面，程序员编写的软件都可能有漏洞，有些漏洞可能要经过许多年后才会被发现。特别是不断新加的功能，这些改动，都会带来安全方面的问题。因此，应用程序测试要伴随着系统开发、布署和运行的全过程。2.1 SQL 注入漏洞测试2.1.1 SQL注入漏洞攻击实现原理SQL（Structured Query Language）是