如何進(jìn)行Web滲透測(cè)試?Web應(yīng)用的滲透測(cè)試流程

發(fā)布時(shí)間:2020-07-16

滲透測(cè)試,是滲透測(cè)試工程師完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對(duì)目標(biāo)網(wǎng)絡(luò)、主機(jī)、應(yīng)用的安全作深入的探測(cè),發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。

如果說安全檢測(cè)是"橫向地毯式自動(dòng)化掃描",那么滲透測(cè)試就是"縱向深度人工化入侵"??梢姖B透測(cè)試的目的是發(fā)現(xiàn)目標(biāo)系統(tǒng)潛在的業(yè)務(wù)漏洞風(fēng)險(xiǎn)。

Web滲透測(cè)試

安全問題都體現(xiàn)在輸入輸出的問題上,能夠分析數(shù)據(jù)流就有跡可循了。先知道滲透測(cè)試的流程,用軟件測(cè)試工具找到漏洞,了解并且復(fù)現(xiàn)它。

如何進(jìn)行Web滲透測(cè)試?

1、 完整web滲透測(cè)試框架

當(dāng)需要測(cè)試的web應(yīng)用數(shù)以千計(jì),就有必要建立一套完整的安全測(cè)試框架,流程的最高目標(biāo)是要保證交付給客戶的安全測(cè)試服務(wù)質(zhì)量。

立項(xiàng):項(xiàng)目建立,時(shí)間安排,人力分配,目標(biāo)制定,廠商接口人確定;

系統(tǒng)分析&威脅分析:針對(duì)具體的web應(yīng)用,分析系統(tǒng)架構(gòu)、使用的組件、對(duì)外提供的接口等,以STRIDE為威脅模型進(jìn)行對(duì)應(yīng)的安全威脅分析,輸出安全威脅分析表,重點(diǎn)關(guān)注top3威脅;

制定測(cè)試用例:根據(jù)威脅分析的結(jié)果制定對(duì)應(yīng)的測(cè)試用例,測(cè)試用例按照模板輸出,具備可執(zhí)行性;

測(cè)試執(zhí)行&漏洞挖掘:測(cè)試用例執(zhí)行&發(fā)散測(cè)試,挖掘?qū)?yīng)的安全問題or漏洞;

問題修復(fù)&回歸測(cè)試:指導(dǎo)客戶應(yīng)用開發(fā)方修復(fù)安全問題or漏洞,并進(jìn)行回歸測(cè)試,確保安全問題or漏洞得到修復(fù),并且沒有引入新的安全問題。

項(xiàng)目總結(jié)評(píng)審:項(xiàng)目過程總結(jié),輸出文檔評(píng)審,相關(guān)文檔歸檔。

2、Web應(yīng)用的滲透測(cè)試流程

主要分為3個(gè)階段,分別是:信息收集→漏洞發(fā)現(xiàn)→漏洞利用,下面仔細(xì)分析一下各個(gè)階段流程:

1、 信息收集

在信息收集階段,我們需要盡量多的收集關(guān)于目標(biāo)web應(yīng)用的各種信息,比如:腳本語言的類型、服務(wù)器的類型、目錄的結(jié)構(gòu)、使用的開源軟件、數(shù)據(jù)庫類型、所有鏈接頁面,用到的框架等;

腳本語言的類型:常見的腳本語言的類型包括:php、asp、aspx、jsp等;

測(cè)試方法:

1 爬取網(wǎng)站所有鏈接,查看后綴;

2 直接訪問一個(gè)不存在頁面后面加不同的后綴測(cè)試;

3 查看robots.txt,查看后綴;

服務(wù)器的類型:常見的web服務(wù)器包括:apache、tomcat、IIS、ngnix等。

測(cè)試方法:

1 查看header,判斷服務(wù)器類型;

2 根據(jù)報(bào)錯(cuò)信息判斷;

3 根據(jù)默認(rèn)頁面判斷;

目錄的結(jié)構(gòu):了解更多的目錄,可能發(fā)現(xiàn)更多的弱點(diǎn),如:目錄瀏覽、代碼泄漏等。

測(cè)試方法

1 使用字典枚舉目錄;

2 使用爬蟲爬取整個(gè)網(wǎng)站,或者使用google等搜索引擎獲?。?/span>

3 查看robots.txt是否泄漏;

我們可以查找相關(guān)的軟件的漏洞直接對(duì)網(wǎng)站進(jìn)行測(cè)試。

數(shù)據(jù)庫類型:對(duì)于不同的數(shù)據(jù)庫有不同的測(cè)試方法。

1 使應(yīng)用程序報(bào)錯(cuò),查看報(bào)錯(cuò)信息

2 掃描服務(wù)器的數(shù)據(jù)庫端口(沒做NAT且防火墻不過濾時(shí)有效);

所有鏈接頁面:這個(gè)跟前面的獲取目錄結(jié)構(gòu)類似,但是這個(gè)不只是獲取網(wǎng)站的所有功能頁面,有時(shí)候還可以獲取到管理員備份的源碼。

1 使用字典枚舉頁面;

2 使用爬蟲爬取整個(gè)網(wǎng)站,或者使用google等搜索引擎獲取;

3 查看robots.txt是否泄漏;

用到的框架:很多網(wǎng)站都利用開源的框架來快速開發(fā)網(wǎng)站,所以收集網(wǎng)站的框架信息也是非常關(guān)鍵的。

二、漏洞發(fā)現(xiàn)

在這個(gè)階段我們?cè)谧鰷y(cè)試的時(shí)候要對(duì)癥下藥,不能盲目的去掃描,首先要確定目標(biāo)應(yīng)用是否使用的是公開的開源軟件,開源框架等、然后在做深一度的漏洞掃描。

關(guān)于開源軟件的漏洞發(fā)現(xiàn)

開源的軟件:常見的開源軟件有wordpress、phpbb、dedecms等;

開源的框架:常見的開源框架有Struts2、 Spring MVC、ThinkPHP等;

中間件服務(wù)器:常見的中間件服務(wù)器有jboss、tomcat、Weblogic等;

數(shù)據(jù)庫服務(wù):常見的數(shù)據(jù)庫服務(wù)mssql、mysql、oracle、redis、sybase、MongoDB、DB2等;

對(duì)于開源軟件的測(cè)試方法

1 通過指紋識(shí)別軟件判斷開源軟件的版本信息,針對(duì)不同的版本信息去開放的漏洞數(shù)據(jù)庫查找相應(yīng)版本的漏洞進(jìn)行測(cè)試

2 對(duì)于默認(rèn)的后臺(tái)登錄頁、數(shù)據(jù)庫服務(wù)端口認(rèn)證等入口可以進(jìn)行簡單的暴力破解、默認(rèn)口令嘗試等操作

3 使用開源的漏洞發(fā)現(xiàn)工具對(duì)其進(jìn)行漏洞掃描,如:WPScan

關(guān)于自主開發(fā)的應(yīng)用

手動(dòng)測(cè)試:這個(gè)階段,我們需要手工測(cè)試所有與用戶交互的功能,比如:留言、登入、下單、退出、退貨、付款等操作。

軟件掃描:使用免費(fèi)的軟件掃描,如:appscan、wvs、netsparker,burp等。

可能存在的漏洞:

Owasp關(guān)鍵點(diǎn);

代碼安全之上傳文件;

代碼安全之文件包含;

代碼安全之SSRF;

邏輯漏洞之密碼重置;

邏輯漏洞之支付漏洞;

邏輯漏洞之越權(quán)訪問;

平臺(tái)安全之中間件安全;

三、漏洞利用

針對(duì)不同的弱點(diǎn)有不同的漏洞利用方式,需要的知識(shí)點(diǎn)也比較多。一般這個(gè)階段包括兩種方式,一種是手工測(cè)試,一種是工具測(cè)試。

手工測(cè)試

手工測(cè)試是通過客戶端或服務(wù)器訪問目標(biāo)服務(wù),手工向目標(biāo)程序發(fā)送特殊的數(shù)據(jù),包括有效的和無效的輸入,觀察目標(biāo)的狀態(tài)、對(duì)各種輸入的反應(yīng),根據(jù)結(jié)果來發(fā)現(xiàn)問題的漏洞檢測(cè)技術(shù)。手工測(cè)試不需要額外的輔助工具,可由測(cè)試者獨(dú)立完成,實(shí)現(xiàn)起來比較簡單。但這種方法高度依賴于測(cè)試者,需要測(cè)試者對(duì)目標(biāo)比較了解。手工測(cè)試可用于Web應(yīng)用程序、瀏覽器及其他需要用戶交互的程序。

這種方式對(duì)于有特殊過濾等操作,或者網(wǎng)絡(luò)上沒有成型的利用工具的時(shí)候可以使用。

工具測(cè)試

AutoRunner是國內(nèi)領(lǐng)先的支持C/S、B/S各種技術(shù)框架的、基于組件識(shí)別的自動(dòng)化測(cè)試工具,實(shí)現(xiàn)7*24小時(shí)的自動(dòng)化回歸測(cè)試,讓測(cè)試更智能。

推薦閱讀:

如何編寫用于UI測(cè)試的測(cè)試方案?如何編寫好的UI測(cè)試測(cè)試用例?

自動(dòng)化執(zhí)行器TestAgent如何配置和使用?

自動(dòng)化腳本編寫方法有哪些?自動(dòng)化測(cè)試錄制腳本用什么工具?

前端自動(dòng)化測(cè)試方法及工具使用注意事項(xiàng)

Web自動(dòng)化測(cè)試工具有哪些?Web自動(dòng)化測(cè)試基本步驟

實(shí)施自動(dòng)化測(cè)試的8大技巧,提高自動(dòng)化測(cè)試效率

web自動(dòng)化測(cè)試工具AR和APP自動(dòng)化測(cè)試工具M(jìn)R的區(qū)別

怎么做前端自動(dòng)化測(cè)試?實(shí)現(xiàn)前端項(xiàng)目的自動(dòng)化測(cè)試的要點(diǎn)

web自動(dòng)化測(cè)試的思路和方法

本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問題,請(qǐng)權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。
滬ICP備07036474號(hào) 2003-2024 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd.
微信
咨詢

添加客服微信 歡迎咨詢測(cè)試工具和測(cè)試服務(wù)

微信客服
問題
反饋
產(chǎn)品
畫冊(cè)

掃描二維碼下載澤眾軟件企業(yè)宣傳冊(cè)

產(chǎn)品畫冊(cè)
返回
頂部

方案咨詢

×
提交信息

電話咨詢,400-035-7887,安排專業(yè)技術(shù)售前給您解答(產(chǎn)品試用、技術(shù)交流、服務(wù)咨詢和商務(wù)報(bào)價(jià))。

您的信息已成功提交!

我們的客服人員稍后會(huì)與您聯(lián)系