随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。
Web 系统的安全性测试包括以下内容:
(1)Web 漏洞扫描
(2)服务器端信息测试
(3)文件和目录测试
(4)认证测试
(5)会话管理测试
(6)权限管理测试
(7)文件上传下载测试
(8)信息泄漏测试
(9)输入数据测试
(10)跨站脚本攻击测试
(11)逻辑测试
(12)搜索引擎信息测试
(13)Web Service 测试
(14)其他测试
本章节主要给大家介绍第(8)点——信息泄漏测试
消息泄漏测试主要是测试系统泄露敏感信息的风险。敏感信息包括数据库连接地址、账号和口令等信息,服务器系统信息,Web 服务器软件名称、版本,Web 网站路径,除html 之外的源代码,业务敏感数据等。
主要包括以下几方面内容:
>> 数据库账号密码测试
>>客户端源代码敏感信息测试
>>客户端源代码注释内容测试
>> 异常测试
>>不安全的存储测试
>>Web 服务器状态信息测试
>>HappyAxis.jsp 页面测试
(1)数据库账号密码测试
测试连接数据库的账号密码在配置文件中是否以明文方式存储,如果是,就很容易被恶意维护人员获取,从而直接登录后台数据库进行数据篡改。
测试时找到连接数据库的账号密码所在的配置文件,查看配置文件中的账号密码是否被加密。
(2)客户端源代码敏感信息测试
客户端源代码敏感信息测试主要是测试Web 页面的HTML 源代码中是否包含口令等敏感信息,特别关注修改口令、带有星号口令的Web 页面。
测试进入一个有敏感信息的页面(如带有修改口令的页面),单击右键查看源文件,源文件中不应包含明文的口令等敏感信息。
(3)客户端源代码注释内容测试
如果开发版本的Web 程序所带有的注释在发布版本中没有被去掉,也可能会导致一些敏感信息泄漏,测试时应该注意页面源代码中是否存在此类安全隐患。
测试进入一个有敏感信息的页面(如带有修改口令的页面),单击右键,查看源文件中有关注释信息是否包含明文的口令等敏感信息。
(4)异常测试
异常测试主要是通过构造一些异常的条件来访问Web 系统,观察其返回的信息来判断系统是否存在信息泄漏的问题。通常异常处理包括三种情况:不存在的URL、非法字符和逻辑错误。
1)不存在的URL 主要是测试当客户提交不存在的URL 时,Web 系统返回的信息,观察返回信息中是否包含敏感信息。例如输入一个不存在的URL(http://192.168.3.9/unexist.jsp),观察返回的错误信息中是否包含敏感信息。
2)非法字符导致信息泄漏是指,当用户提交包含特殊字符的URL 时,Web 系统可能返回错
误的信息,通过错误信息来判断是否存在敏感信息的泄漏问题。测试时在正常的URL 的参数中添加特殊字符%、*、;、’、?,如以下URL:
http://www.exmaple.com/page.xxx?name= value%
http://www.exmaple.com/page.xxx?name= value*
观察返回的信息,返回信息中不应包含敏感信息。
3)逻辑错误是指Web 应用在处理一些具有逻辑错误的请求时,可能会返回错误的信息,通过返回的错误信息来确认是否有敏感信息的泄漏问题。测试时根据详细说明书,尽可能地尝试使用违背业务逻辑处理的参数来访问Web 系统并观察Web 系统返回的异常信息。
(5)不安全的存储测试
不安全的存储测试主要是测试存储在服务器上的配置文件、日志、源代码等是否存在漏洞,该项测试没有具体的指导方法,测试时主要关注以下几个问题:
>>上传文件所在的目录(包括临时目录)能否被直接远程访问。
>>服务器配置文件目录或日志所存放的目录能否被直接访问。
>> 公用文件头(如数据库链接信息、源代码头文件等)是否采用不被服务器处理的后缀(如inc 作为文本格式直接输出)进行存储。
>> 在日志或数据库中是否能查找到明文的敏感信息。
(6)Web 服务器状态信息测试
Web 服务器状态信息测试主要是测试Web 服务器默认提供的服务器状态信息查询功能,是否会泄漏系统信息,进而存在被攻击的可能性。测试时进入Web服务器状态信息页面http://192.168.1.9/status?full=true,观察页面返回的信息,检查页面中是否包含服务器的敏感信息。
说明:该方法适用于Tomcat 和JBoss 服务器
(7)HappyAxis.jsp 页面测试
HappyAxis.jsp 页面测试主要是测试HappyAxis.jsp 页面中是否存在一些服务器的敏感信息。对于使用Axis 来发布的Web Service,默认是保存HappyAxis.jsp 页面。测试步骤如下:
步骤1:登录Web 服务器的操作系统
步骤2:在系统中查找HappyAxis.jsp 文件
步骤3: 使用查找到的目录信息来构造访问HappyAxis.jsp 页面的URL,并进行访问,如
http://192.168.1.9/axis3/happyaxis.jsp
如果能正常访问HappyAxis.jsp 文件,说明系统存在漏洞。
学习安排上
作为一位过来人也是希望大家少走一些弯路,在这里我给大家分享一些软件自动化测试的学习资源,希望能给你前进的路上带来帮助。【无套路免费白嫖】
视频文档获取方式:
这份文档和视频资料,对于想从事【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!以上均可以分享,点下方小卡片即可自行领取。