Web安全测试（文末送电子书）_电子书下载 安全测试

测试方法：

在数据输入界面，添加记录输入：

，添加成功如果弹出对话框，表明此处存在一个XSS 漏洞。

或把url请求中参数改为

，如果页面弹出对话框，表明此处存在一个XSS 漏洞

修改建议：

过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验（如通过正则表达式等）。

Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤

2.CSRF与跨站脚本(XSS)

CSRF与跨站脚本(XSS)，是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动。

测试方法：

同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功

使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登陆界面。

修改建议：

在不同的会话中两次发送同一请求并且收到相同的响应。这显示没有任何参数是动态的（会话标识仅在cookie 中发送），因此应用程序易受到此问题攻击。因此解决的方法为

1.Cookie Hashing(所有表单都包含同一个伪随机值)：

2.  验证码

3.One‐Time Tokens(不同的表单包含一个不同的伪随机值)客户端保护措施：应用防止

CSRF攻击的工具或插件。

3.注入测试

SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符

串，最终达到欺骗服务器执行恶意的SQL命令。

测试方法：

在需要进行查询的页面，输入正确查询条件 and 1=1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，表明应用程序对用户输入未进行过滤，可以初步判断此处存在SQL注入漏洞

修改建议：

对用户的输入进行校验，可以通过正则表达式，或限制长度；对以下关键字进行转换等;

不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取;

不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接;

应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。

4.登录认证测试

4.1暴力破解

暴力破解是目前最直接有效的攻击方式，特别对于金融业务来说，很多情况下口令都为6位纯数字，很容易被攻击。本测试项在于检查认证系统对暴力破解的防护性。

测试方法：

启动抓包工具，同时打开浏览器输入用户登录页面，输入用户名、密码以及验证码，进行登录，如果在抓包中存在明文的用户名和密码，说明存在弱点。

修改建议：

将请求方式从HTTP方式修改为HTTPS方式或者对输入的用户名和密码进行加密，在服务端对密码进行验证

4.2代码注释

开发版本的Web程序所带有的注释在发布版本中没有被去掉，而导致一些敏感信息的泄漏。我们要查看客户端能看到的页面源代码并发现此类安全隐患。

测试方法：

打开登陆页面(或者待测试页面)，点击浏览器邮件，查看源代码，检查源代码注释部分是否有敏感信息泄露，敏感信息包括以下内容：字段文字描述、内网 IP 地址、SQL 语句以及物理路径等等。

修改建议：

请勿在HTML  注释中遗留任何重要信息（如文件名或文件路径）。

从生产站点注释中除去以前（或未来）站点链接的跟踪信息。

避免在HTML  注释中放置敏感信息。

确保HTML  注释不包括源代码片段。

4.3 用户名破解

为了进行暴力破解，攻击者需要知道已存在的用户名，再对该用户名进行攻击。

测试方法：

在登录界面输入不存在的用户名和任意的口令，如果提示用户名不存在，则说明存在漏洞；使用正确的用户名和错误的口令进行登录，如果提示口令或密码错误，则说明存在漏洞。

修改建议：

服务器对所有的登陆错误原因进行统一的应答，不会提示准确的错误提示信息。

4.4

在缺少锁定策略和验证码设计有问题的情况下，攻击者可以通过枚举的方式来进行暴力猜解。

测试方法：

在登录页面，输入正确的用户名、错误的口令以及正确的验证码，提交表单，重复10

次，如果系统没有返回类似账号锁定的信息，则说明存在漏洞。

修改建议：

在用户进行错误登录次数达到系统配置后，需要对该账号或者该IP进行临时锁定，到达解锁条件后再进行解锁。

4.5

查看是否有验证码机制，以及验证码机制是否完善，避免使用自动化工具重复登录和进行业务操作。

测试方法：

打开登陆页面查看是否存在验证码，如果不存在说明存在漏洞。

输入正确的用户名和口令以及错误的验证码，如果只是提示验证码错误，则说明存在漏洞。

选择验证码，点击右键，验证码是图片形式且在一张图片中，如果不是，则说明存在漏洞。

观察验证码图片中背景是否存在无规律的点或线条，如果背景为纯色（例如只有白色）说明存在漏洞。

修改建议：

将验证码生成放在在一张进行了混淆处理的图片上。

4.6

测试方法：

进入系统的口令修改界面，查看是否必须输入旧口令，如果不需要则存在漏洞。

修改建议：

用户修改密码时必须提供旧密码，且新密码不能与旧密码相同，密码要有一定复杂度，参见口令规则建议。

4.7 默认账户名称设置

一般系统均设有默认登录用户，以及超级管理员账号，如登录账号过于简单将易被破解，造成超级权限泄露。

修改建议：

上线系统清除超级管理员权限用户，或增加超级管理员登录名复杂度，不要设置成易猜测的admin、superadmin等名称。

4.8 错误的页面信息

404、500等错误或警告消息，可能会泄露敏感信息。

修改建议：

捕获异常跳转至统一错误页面，避免对外泄漏详细错误信息。

5.会话管理测试未更新

5.1会话标识测试

查看登录成功后会话标识是否变更。如果未变更，那么攻击者就可以通过一些手段（如构造URL）为受害着确定一个会话标识，当受害者登录成功后，攻击者也可以利用这个

会话标识冒充受害者访问系统。

测试方法：

启动抓包工具或浏览器自带开发者模式打开登录页面，输入正确的用户名、口令以及验证码，进行登录，登录后，进行任意一项业务操作。如果登录的SessionId和进行业务的SessionId没有变化，则说明存在漏洞。

修改建议：

对每次请求都从上次请求获得令牌，服务端对每次交互都进行验证

查看是否存在浏览器窗口闲置超时后需重新登录的机制

5.2会话超时测试

测试方法：

打开登录界面，输入正确的用户名和口令，进行登录，进行一项业务操作，将浏览器空闲超过30分钟，在进行其他业务操作，如果能够进行其他业务操作，则说明存在漏洞。

修改建议：

需要在后台进行配置Session的超时时间。

5.3会话清除测试

用户注销后会话信息需要清除，否则会导致用户在点击注销按钮之后还能继续访问注销之前才能访问的页面。

测试方法：

进入登录页面，输入正确的用户名和密码，登录成功后，进行一些业务操作，点击注销按钮，在浏览器输入地址，输入上面进行业务操作的地址，如果能够正常返回业务页面，则说明存在漏洞。

修改建议：

在用户注销后，必须将用户的Session信息以及缓存信息全部清空。

6其他

6.1文件目录测试

目录列表能够造成信息泄漏，而且对于攻击者而言是非常容易进行的。所以在测试过程中，要注意目录列表漏洞。

测试方法：

通过浏览器访问web 服务器上的所有目录，检查是否返回目录结构，如果显示的是目录结构，则可能存在安全问题；

或使用DirBuster软件进行测试；

修改建议：

1.针对每个Directory 域都使用Allow 、Deny 等指令设置，严格设定WEB服务器的目录访问权限；

2.删除Options 指令下的Indexes 设置项；

6.2文件上传漏洞

文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的，如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，攻击者可通过 Web 访问的目录上传任意文件，包括网站后门文件（webshell），进而远程控制网站服务器。

修改建议：

严格限制和校验上传的文件类型、大小等，禁止上传恶意代码的文件。同时限制相关目录的执行权限，防范webshell攻击。

6.3http请求方法测试

有些Web服务器默认情况下开放了一些不必要的HTTP方法（如DELETE、PUT、TRACE、MOVE、COPY），这样就增加了受攻击面。

测试方法：

使用SoapUI等工具，发送除get、post以外的方法请求，如接收应答为200ok，代表启用了不必要的方法。

修改建议：

在tomcat  web.xml中增加如下内容：

/*　　      PUT　　      DELETE　　      HEAD　　      OPTIONS　　      TRACE　　    　　    　　    　　　　　　  BASIC

6.4 服务器安全策略

1.服务器用户权限

运行Web服务器的操作系统账号权限越高，那么Web遭到攻击产生的危害就越大。部署到生产环境运行时是不能用root等最高权限的，一切都给予以最小权限。

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。