常见Web安全漏洞及测试方法（转载）

心已赠人 2022-05-11 06:36 323阅读 0赞

一般来说，版本功能测试完成，对应的用例也实现了自动化，性能、兼容、稳定性测试也完成了以后，我们就需要考虑到系统的安全问题，特别是涉及到交易、支付、用户账户信息的模块，安全漏洞会带来极高的风险。

**一、安全测试6项基本原则：**

**认证:**对认证的用户的请求返回

**访问控制：**对未认证的用户的权限控制和数据保护

**完整性：**用户必须准确的收到服务器发送的信息

**机密性：**信息必须准确的传递给预期的用户

**可靠性：**失败的频率是多少？网络从失败中恢复需要多长时间？采取什么措施来应对灾难性的失败？（个人理解这个地方应该更偏向于容错容灾测试的范畴）

**不可抵赖：**用户应该能证明接收到的数据来自特定的服务器

**二、常见的安全测试内容**

权限控制

SQL注入

URL安全测试

XSS（跨站脚本攻击）

CSRF（跨站请求伪造）

URL跳转漏洞

其他安全方面的考量

**三、Web应用程序中是什么导致安全性问题呢？一般有以下几个原因：**

1、复杂应用系统代码量大、开发人员多、难免出现疏忽。

2、系统屡次升级、人员频繁变更，导致代码不一致。

3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上。

4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范。

5、测试人员经验不足或者没经过专业的安全评估测试就发布上线。

6、没有对用户的输入进行验证，举几个例子：

1）永远不要信任用户的输入，要对用户的输入进行校验

2）数字型的输入必须是合法的数字

3）字符型的输入中对 编码符号要进行特殊处理

4）验证所有的输入点，包括Get，Post，Cookie以及其他HTTP头

**四、安全性测试的常见漏洞及解决办法：**

**1、XSS跨站脚本攻击**

SS与SQL注入相似，XSS是通过网页插入恶意脚本，主要用到的技术也是前端的HTML和JavaScript脚本。当用户浏览网页时，实现控制用户浏览器行为的攻击方式。

一次成功的XSS，可以获取到用户的cookie，利用该cookie盗取用户对该网站的操作权限；也可以获取到用户联系人列表，利用被攻击者的身份向特定的目标群发送大量的垃圾信息，等等。

XSS分为三类：存储型(持久性XSS)、反射型(非持久性XSS)、DOM型。

测试方法：

在数据输入界面，输入：<script>alert(/123/)</script>，保存成功后如果弹出对话框，表明此处存在一个XSS 漏洞。

或把url请求中参数改为<script>alert(/123/)</script>，如果页面弹出对话框，表明此处存在一个XSS 漏洞。

**2、SQL注入**

SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符

串，最终达到欺骗服务器执行恶意的SQL命令。

SQL注入可能造成的危害有：网页、数据被篡改，核心数据被窃取，数据库所在的服务器被攻击，变成傀儡主机。

例如有些网站没有使用预编译sql，用户在界面上输入的一些字段被添加到sql中，很有可能这些字段包含一些恶意的sql命令。如:password = "1' OR '1'='1"；即使不知道用户密码，也能正常登录。

测试方法：

在需要进行查询的页面，输入正确查询条件 and 1=1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，表明应用程序对用户输入未进行过滤，可以初步判断此处存在SQL注入漏洞

修改建议：

对用户的输入进行校验，可以通过正则表达式，或限制长度；对以下关键字进行转换等;

||alert|and|exec|execute|insert|select|delete|update|count|drop|chr|mid|master|truncate|declare|sitename|netuser|xp\_cmdshell|or|+|,|like'|and|exec|execute|insert|create|drop|table|from|grant|group\_concat|column\_name|information\_schema.columns|table\_schema|union|where|select|delete|update|order|by|count|chr|mid|master|truncate|declare|or|--|+|,|like|//

不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取;

不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接;

应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。

**3、URL跳转漏洞**

URL跳转漏洞，即未经验证的重定向漏洞，是指Web程序直接跳转到参数中的URL，或者在页面中引入了任意开发者的URL，将程序引导到不安全的第三方区域，从而导致安全问题。

测试方法：

1.使用抓包工具抓取请求。

2.抓取302的url，修改目标地址，查看是否能跳转。

ps：不过现在很多跳转都加了referer的校验导致攻击者跳转失败。

**4、文件上传漏洞**

文件上传攻击是指攻击者上传了一个可执行文件到服务器上，并执行。

这种攻击方式是最直接有效的。上传的文件可以是病毒、木马、恶意脚本或者是webshell等等。