安全技术 | Web应用渗透测试策略与方法论

栏目: 编程工具 · 发布时间: 5年前

内容简介:现在越来越多的数据会存储在Web应用程序里面了,因此Web应用安全的重要性也愈发凸显。在对Web应用程序进行了安全测试之后,我们可以判断其存储的敏感数据是否真的能够实现受限访问,并只允许特定用户对数据执行操作任务。Web安全测试的范围非常广,其中涉及到多种安全测试过程,从识别整个Web应用程序开始,再到对多个阶段的测试进行监控,它是一个系统化的操作流程。

写在前面的话

现在越来越多的数据会存储在Web应用程序里面了,因此Web应用安全的重要性也愈发凸显。在对Web应用程序进行了安全测试之后,我们可以判断其存储的敏感数据是否真的能够实现受限访问,并只允许特定用户对数据执行操作任务。

Web安全测试的范围非常广,其中涉及到多种安全测试过程,从识别整个Web应用程序开始,再到对多个阶段的测试进行监控,它是一个系统化的操作流程。

安全技术 | Web应用渗透测试策略与方法论

在本文中,我们将跟大家一起讨论一下在发现和修复Web应用程序中可能存在的安全漏洞时需要注意哪些关键因素。

Web应用程序安全测试

功能测试

在功能测试中,需要对Web应用程序中的每一个实际功能进行测试,并验证这些功能是否能够完全按照规范或者标准来运行。测试过程需要访问Web页面中所有的链接,其中不仅包括所有的页面超链接、数据库链接以及表单链接,而且还包括所有需要收集并上传用户数据的表单元素。

可用性测试

可用性测试包括以下几个方面:

1、 网站应当上手简单,易于使用。
2、 操作指引应该简单明了,表达明确。
3、 每一个页面的标题应当能够概括当前页面的主要内容。
4、 网站中的内容应该保持一致性。

接口测试

在接口测试中,Web应用程序接口、Web服务器接口和数据库服务器接口都是需要测试的主要接口。

在进行接口测试的过程中,测试人员需要访问这些服务器之间的全部交互信息,并对交互信息进行分析,以此来判断接口间的数据处理是否正确。如果Web应用程序的后台数据库服务器返回了查询错误,那么在正常情况下,应用程序服务器应当捕捉到异常,并将错误信息以适当的方式显示给终端用户。

兼容性测试

网站的兼容性测试是非常重要的,在进行兼容性测试的过程中,需要测试的方面包括操作系统兼容性、页面打印兼容性和浏览器兼容性等等。

性能测试

测试人员在进行Web应用程序安全测试时必须熟悉HTTP协议,他们不仅要了解服务器与客户端是如何进行通信的,而且还要明确HTTP的完整工作流程。需要注意的是,Web应用程序的安全性相对其他类型的应用程序来说是比较低的,因此测试人员必须详细检测目标Web应用中可能存在的每一个缺陷。

安全技术 | Web应用渗透测试策略与方法论

漏洞检测

在进行性能测试时,测试人员必须同时检测以下几种安全漏洞:

SQL注入

存在 SQL 注入漏洞的后果是非常严重的,因为它会导致Web应用程序的机密数据从后台数据库服务器中泄露出去。这种类型的攻击需要在软件或应用程序的运行过程中进行,我们可以通过对各种输入字段(如注释和文本框等)进行详细的安全检测,并对用户输入进行有效过滤来防止这种类型的攻击。

密码破解

为了获取用户的敏感信息,攻击者会使用各种密码破解工具。不过常用的用户名和密码都可以直接从网上找到,或者直接使用开源的密码破解工具。因此,性能测试对于密码破解来说是非常重要的。

URL篡改

攻击者还可以通过篡改URL查询字符串来获取服务器中的敏感数据。如果目标Web应用程序缺乏相应的安全措施,那么机密数据就会泄漏。一般来说,GET方法最容易受到这种类型的攻击,因此测试人员必须要对请求参数进行分析,并在服务器接收和处理请求之前对恶意信息进行过滤,

跨站脚本XSS

XSS允许攻击者在用户浏览的页面中插入恶意代码或链接,当用户访问该页面或点击了恶意URL之后,页面代码会发生变化,并允许攻击者访问或窃取目标用户的个人数据以及其他的关键信息。

安全测试

在安全测试过程中,测试人员可以参考下列步骤进行操作:

安全技术 | Web应用渗透测试策略与方法论

1、 了解并识别目标应用程序的安全需求。
2、 尽可能多地收集关于目标Web应用程序的所有信息,包括后台服务器信息、网络架构及设置信息、编程开发语言、技术实现细节以及硬件配置等等。
3、 识别可能存在的安全风险或漏洞,并列出清单。
4、 根据列表建立威胁模型。
5、 根据识别出的潜在风险或漏洞制定测试计划。
6、 为每一个安全风险或漏洞制作一个跟踪矩阵。
7、 准备好相关的安全测试用例文档。
8、 执行安全漏洞测试用例。
9、 在已识别出的安全缺陷被修复后,重新进行测试。
10、生成安全测试文档,其中需包括安全风险或漏洞的详细描述,以及仍然可能存在的风险详情。

* 参考来源: gbhackers ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《安全技术 | Web应用渗透测试策略与方法论》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Algorithms

Algorithms

Sanjoy Dasgupta、Christos H. Papadimitriou、Umesh Vazirani / McGraw-Hill Education / 2006-10-16 / GBP 30.99

This text, extensively class-tested over a decade at UC Berkeley and UC San Diego, explains the fundamentals of algorithms in a story line that makes the material enjoyable and easy to digest. Emphasi......一起来看看 《Algorithms》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具