软件测试2019：第五次作业

---恢复内容开始---

一、回答下述问题：

1.阐述常见的Web安全测试有几种类型？参考教材P173.

答：

（1）数据加密。某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输，包括用户登录密码、信用卡信息等。数据加密的安全性还包括加密的算法、密钥的安全性。

（2）登录或身份验证。一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名和匹配的密码进行校验，以阻止非法用户登录。在进行登录测试的时候，需要考虑输入的密码是都大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录、哪些页面或者文件需要登录后才能进行访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等，并区分公共访问和受限访问，受限访问的资源。

（3）输入验证。在进行web安全性测试时，每个输入域都需要用标准的机制验证，长度、数据类型等符合设定要求，不允许输入JavaScript代码，包括验证从数据库中检索的数据、传递到组件或web服务的参数等。

（4）SQL注入。从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取必要的数据库信息，然后基于这些信息，可以注入某些参数，绕过程序的保护，针对数据库服务器进行攻击。

（5）超时限制。web应用系统一般会设定“超时”限制，当用户长时间不做任何操作时，需要重新登录才能打开其他页面。会话的安全性还包括交换会话标识符、会话存储状态等的安全性。

（6）目录。web的安全目录也是不能忽视的。如果web程序或者web服务器的处理不适合，可以通过简单的URL替换和推测，使整个web目录暴露出来，带来严重的安全隐患。可以采用某些方法将这种隐患降到最小程度，如每个目录下都存在index.htm，以及严格设定web服务器的目录访问权限。

（7）操作留痕。为了保证web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进入了日志文件，是否可追踪。

二、安全测试工具调研

1. 概述

列出常见的安全测试工具，画一张表，加以说明。格式如下：

序号	安全测试工具	商用 OR 免费	检测对象（二进制代码/源代码）	简介
1	Metaspoit	免费	源代码	它是一个强大的开源平台，供开发，测试和使用恶意代码，这个环境为渗透测试，shellcode 编写和漏洞研究提供了一个可靠平台。
2	Nessus	商用	源代码	Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。可自行定义插件(Plug-in)。完整支持SSL (Secure Socket Layer)。
3	w3af	免费	源代码	web应用/网站专业扫描工具
4	Pangolin	商用	源代码	Pangolin（中文译名为穿山甲）一款帮助渗透测试人员进行sql注入测试的安全工具。Pangolin能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。
5	Nmap	免费	二进制代码	nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）
6	Wireshark	免费	二进制代码	Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。
7	Waptiti	免费	源代码	由Python语言编写的、开源的安全测试工具，直接对网页进行扫描，可用于web应用程序漏洞扫描和安全检测。
8	Nikto	免费	源代码	开源的web服务器扫描程序，可以对web服务器的多种项目进行全面的测试。
……

2. 安全测试工具试用

选择一个开源的安全测试工具（可以参考教材 P176），开展试用，写一个试用报告。报告内容

1）记录完整的测试过程（工具安装、环境设置、测试过程、结果分析），包括脚本文件；
2） 提交安全测试报告，描述所做的测试、遇到的问题、结果分析等，要包括主要的测试运行截图。

答：我选择的是metasploit

①安装

 

 

 

②配置环境变量

 

③用cmd打开

通过show命令查看模块

用options命令

使用set命令

生成URL并在浏览器中打开，出错。

 

总结：一开始想要下载许多软件但都不怎么好下载，有的不方便使用，所以最终选择了metasploit。一开始不知道怎么使用，后来使用百度，根据教学步骤，配置了环境变量然后打开。做这个实验真的需要耐心。

---恢复内容结束---

一、回答下述问题：

1.阐述常见的Web安全测试有几种类型？参考教材P173.

答：

（1）数据加密。某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输，包括用户登录密码、信用卡信息等。数据加密的安全性还包括加密的算法、密钥的安全性。

（2）登录或身份验证。一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名和匹配的密码进行校验，以阻止非法用户登录。在进行登录测试的时候，需要考虑输入的密码是都大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录、哪些页面或者文件需要登录后才能进行访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等，并区分公共访问和受限访问，受限访问的资源。

（3）输入验证。在进行web安全性测试时，每个输入域都需要用标准的机制验证，长度、数据类型等符合设定要求，不允许输入JavaScript代码，包括验证从数据库中检索的数据、传递到组件或web服务的参数等。

（4）SQL注入。从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取必要的数据库信息，然后基于这些信息，可以注入某些参数，绕过程序的保护，针对数据库服务器进行攻击。

（5）超时限制。web应用系统一般会设定“超时”限制，当用户长时间不做任何操作时，需要重新登录才能打开其他页面。会话的安全性还包括交换会话标识符、会话存储状态等的安全性。

（6）目录。web的安全目录也是不能忽视的。如果web程序或者web服务器的处理不适合，可以通过简单的URL替换和推测，使整个web目录暴露出来，带来严重的安全隐患。可以采用某些方法将这种隐患降到最小程度，如每个目录下都存在index.htm，以及严格设定web服务器的目录访问权限。

（7）操作留痕。为了保证web应用系统的安全性，日志文件是至关重要的。需要测试相关信息是否写进入了日志文件，是否可追踪。

二、安全测试工具调研

1. 概述

列出常见的安全测试工具，画一张表，加以说明。格式如下：

序号	安全测试工具	商用 OR 免费	检测对象（二进制代码/源代码）	简介
1	Metaspoit	免费	源代码	它是一个强大的开源平台，供开发，测试和使用恶意代码，这个环境为渗透测试，shellcode 编写和漏洞研究提供了一个可靠平台。
2	Nessus	商用	源代码	Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。可自行定义插件(Plug-in)。完整支持SSL (Secure Socket Layer)。
3	w3af	免费	源代码	web应用/网站专业扫描工具
4	Pangolin	商用	源代码	Pangolin（中文译名为穿山甲）一款帮助渗透测试人员进行sql注入测试的安全工具。Pangolin能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。
5	Nmap	免费	二进制代码	nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）
6	Wireshark	免费	二进制代码	Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。
7	Waptiti	免费	源代码	由Python语言编写的、开源的安全测试工具，直接对网页进行扫描，可用于web应用程序漏洞扫描和安全检测。
8	Nikto	免费	源代码	开源的web服务器扫描程序，可以对web服务器的多种项目进行全面的测试。
……

2. 安全测试工具试用

选择一个开源的安全测试工具（可以参考教材 P176），开展试用，写一个试用报告。报告内容

1）记录完整的测试过程（工具安装、环境设置、测试过程、结果分析），包括脚本文件；
2） 提交安全测试报告，描述所做的测试、遇到的问题、结果分析等，要包括主要的测试运行截图。

答：我选择的是metasploit

①安装

 

 

 

②配置环境变量

 

③用cmd打开

通过show命令查看模块

用options命令

使用set命令

生成URL并在浏览器中打开，出错。

 

总结：一开始想要下载许多软件但都不怎么好下载，有的不方便使用，所以最终选择了metasploit。一开始不知道怎么使用，后来使用百度，根据教学步骤，配置了环境变量然后打开。做这个实验真的需要耐心。

转载于:https://www.cnblogs.com/xiaowancheng/p/10825031.html