Web目录安全测试

最新推荐文章于 2020-06-28 16:33:40 发布
最新推荐文章于 2020-06-28 16:33:40 发布
阅读量1.9k 收藏
点赞数
分类专栏: 安全性测试 文章标签: web behavior 测试 url web服务 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Anlegor/article/details/5936557
版权

        

1.     起由:

以前没有接触过安全测试相关的内容,前几天一个朋友问到Web 目录安全测试相关的问题,就做了一些了解,尽管不深入,但是感觉自己收获还是挺大的。

2.     原因分析:

                  apache 接收到一条映射到目录的请求,检查对应的作用域下DirectoryIndex 指令是否设置当收到一个请求目录的索引时,服务器需要寻找的资源列表,如果有进行设置,那么按照设置的顺序优先返回前面的资源;如果没有设置,那么会继续看对应的作用域下,Options 指令是否设置了Indexes ,如果设置了,那么会提示禁止访问,如果没有设置那么会返回当前目录的目录结构。

设置Options 指令中有Indexes 访问http://127.0.0.1/excel/ 情况:


         设置Options 指令中没有Indexes 访问http://127.0.0.1/excel/ 情况:

3.     解决方法:

该问题可以从两个方面进行解决:

针对每个Directory 域都使用AllowDeny 等指令设置,如:

 

删除Options 指令下的Indexes 设置项,例如:

注意:如果开启的话,就是 Options Indexes MultiViews ExecCGI

4.     测试如何开展:

其实对于任何已经发布的web 应用,都应该进行web 目录安全的测试,因为都有可能存在该问题。

我认为该问题的验证还是比较简单的:通过浏览器访问web 服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,那么就有可能有安全问题了;请求服务器上的所有资源文件,检查是否存在为提供访问入口的资源能被用户访问到,如果可以,那么可能存在安全问题。

5.     参考资料:

http://express.ruanko.com/ruanko-express_7/webpage/tech-overnight_1.html

http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/core.html#options

http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_cgi.html

http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_dir.html#directoryindex

http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_authz_host.html#allow

 

 

 

 

 

anlegor
关注
专栏目录
web安全测试的基本知识点
在路上
08-03 873
不登录系统,直接输入登录后的页面的URL是否可以访问;​ 不登录系统,直接输入下载文件的URL是否可以下载文件;如输入:http://url/download?name=file是否可以下载文件file​ 退出登录后,后退按钮能否访问之前的页面; ID/密码验证方式中能否使用简单密码;如密码标准为6位以上,字母和数字的组合,不包含ID,连接的字母或数字不能超过n位 ID/密码验证方式中,同一个帐号在
Web安全攻防:渗透测试实战指南 (徐焱)
最新发布
08-24
Web安全攻防:渗透测试实战指南 (徐焱)
安全测试——目录设置
成都汇智动力的博客
06-28 266
目录设置对系统的安全性而言非常关键。日常生活中,很多人在一些应用系统中通过某些小手段总能看到本不该展现的数据信息。 【案例1 ECShop目录安全测试】 通过某商品的图片属性查看其网络路径,如ECShop商品图片的地址: http://192.168.0.105/ecshop/images/201605/goods_img/70_G_1462955414630.jpg 分析上述路径结构可知,其上一级目录路径为“goods_img”,在浏览器直接键入对应的地址,如“http://192.1..
测试目录功能
tast blog
11-01 338
C++ <a src="www.baidu.com">百度</a> +-*/? <p>csdn</p>
测试一个目录或者文件
weixin_34409703的博客
11-12 245
im test.sh #!/bin/bash if [ -e $1 ];then if [ -f $1];then echo"$1 isa file" elif[ -d $1];then echo"$1 is a directory" else echo "$1 is unknow" fi else echo "You fool,please...
web安全目录
qq_43078795的博客
02-01 137
不定期完善。 客户端 浏览器安全 XSS CSRF ClickJacking 服务器端 注入攻击 文件上传漏洞
WEB安全测试点报告.xlsx
07-09
WEB安全测试点报告,辅助做好系统安全测试
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf
08-12
静态应用安全测试是指在不运行Web应用程序的情况下对其进行安全检测,而动态应用安全测试是指在运行Web应用程序的情况下对其进行安全检测。 3. Web应用安全检测的方法:Web应用安全检测可以使用多种方法,例如黑盒...
Web安全测试检查单
weixin_30889885的博客
12-13 93
大类 细项 标记 备注 上传功能 绕过文件上传检查功能 P1 功能测试阶段覆盖 上传文件大小和次数限制 P1 注册功能 注册请求是否安全传输 P1 功能测试阶段覆盖 注册时密码复杂度是否后台检验 ...
Web系统的安全性测试之文件和目录测试
01-27
随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。Web系统的安全性测试包括以下内容:(1)Web漏洞扫描(2)服务器端信息测试(3)文件和目录测试(4)认证测试(5)会话管理测试(6)权限管理测试(7)文件上传下载测试(8)信息泄漏测试(9)输入数据测试(10)跨站脚本攻击测试(11)逻辑测试(12)搜索引擎信息测试(13)WebService测试(14)其他测试本章节先主要给大家介绍第(3)点——文件和目录测试
Java测试--安全测试#目录
YH的博客
10-30 585
#1.归档测试 1.1目录列表 1.2备份文件 1.3后台查找 #2.权限测试 2.1越权操作 #3.参数分析 3.1异常处理 3.2注入测试 3.3命令执行 3.4跨站测试 3.5文件包含 #4.会话管理 4.1越权操作 4.2认证绕过 #5.接口测试 5.1越权操作 5.2异常处理 5.3注入测试 5.4信息窃取 #6.认证测试 6.1
文章目录
测试0901-1
03-25 136
文章目录1级标题2级标题3级标题四级标题五级标题六级标题 1级标题 2级标题 3级标题 四级标题 五级标题 六级标题
目录测试
weixin_34194702的博客
09-05 127
一.认真 1.认真 修改自 【分享】博客美化(6)为你的博文自动添加目录 - 数据之巅 - 博客园http://www.cnblogs.com/asxinyu/p/Bolg_Category_AddArticleCategory_6.html 2.认真 二.认真 1.认真 2.认真 三.认真 1.认真 2.认真 四.认真 1.认真 相关设置和配置 ...
Web 安全博客目录
kevinhanser
08-13 1085
本文详细记录 Web 安全的学习过程 文件上传 博客目录 Sqli-labs 博客目录 PHP 代码审计博客目录 《Metasploit 魔鬼训练营》博客目录 《网络扫描技术揭秘》 博客目录Web安全深度剖析》读书笔记...
安全测试 -web
weixin_33845477的博客
11-02 179
安全测试 -手工测试 手工测试方法-来自http://www.51testing.com/html/83/n-201383.html 这里先说一下手动测试的两个出发点,所谓知己知彼,百战不殆,安全测试也要从正反两个方面出发来考虑。一是从己方也就是系统安全本身出发,确保其安全机制正确执行了它们的功能;还有就是从敌方也就是***者的角度出发,专门针对模拟***者的测试用例...
web安全测试必须注意的五个方面
weixin_30342209的博客
07-18 366
随着互联网的飞速发展,web应用在软件开发中所扮演的角色变得越来越重要,同时,web应用遭受着格外多的安全攻击,其原因在于,现在的网站以及在网站上运行的应用在某种意义上来说,它是所有公司或者组织的虚拟正门,所以比较容易遭受到攻击,存在安全隐患。 今天主要给大家分享下有关安全测试的一些知识点以及注意事项。 一、安全测试的验证点 一个系统的安全验证点包括上传功能、注册功能/登陆功能、验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值