OWASP-CM-005

最新推荐文章于 2019-11-24 21:32:05 发布
最新推荐文章于 2019-11-24 21:32:05 发布
阅读量662 收藏
点赞数
分类专栏: OWASP 文章标签: web服务 扩展 负载均衡 testing 服务器 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tingirl/article/details/5256648
版权

Testing for File extensions handling (OWASP-CM-005) 文件后缀管理测试

 

 

 

 

Brief Summary 概述

 

 

另外,错误的配置可能使得关于访问控制的完整信息暴露给攻击者。


标准的文件后缀使得渗透者获得关于这一文件的技术的有用信息,以极大简化攻击策略的确定。

web 服务器使用文件后缀来更加容易的确定应该使用何种技术 / 语言 / 插件来处理请求。

 

 

 

Description of the Issue 关于这一问题的描述

 

 

不同的文件扩展名有助于帮助理解 web 服务器的行为。例如,它可以帮助我们了解哪些文件被作为文本返回,哪些在服务器端执行。后者表明是何种技术 / 语言 / 插件。例如,“ .pl ”扩展名通常表面服务器端支持 Perl (虽然只有文件扩展名可能是欺骗性的,并无定论,如 Perl 服务器端的资源可能被重新命名,以掩饰他们的确与 Perl 有关)。确服务器端的技术和组件另见下一节关于“网络服务器组件”。

 

 

 

 

 

Black Box testing and example 黑盒测试和示例

 

提交 http [ s ] 求涉及不同的文件 展名, 验证 是如何 些核 以每一个 web 录为

确认 脚本 的目录 。可以通 一些漏洞 描器 来确定 Web 器的目 。此外, 创建一个 网站 的镜像可以 重建 web 目录树

如果 web 应用程序的体系结构采用了负载均衡,那么就需要评估所有 Web 服务器。仅仅依赖于负载均衡的配置来确定可能容易,也可能不容易。例如,如果网络架构采用异构技术(考虑同时对 IIS Apache web 服务器设置了负载均衡,这可能引入他们之间的不对称行为,可能有不同的脆弱点)。

Example:
We have identified the existence of a file named connection.inc. Trying to access it directly gives back its contents, which are: 我们确定了一个名为 connection.inc 的文件的存在,尝试访问它,得到了如下返回。

 

<?

   mysql_connect("127.0.0.1", "root", "")

        or die("Could not connect");

 

?>

  我们确定后端有 MySQL 数据库管理系统的存在,并且它对 web 应用程序的访问使用了一定的检查机制。这个例子表明访问一定种类的文件是很危险的。

下面的文件扩展名绝不应返回 Web 服务器,因为它们涉及的文件可能包含敏感信息,或没有送达的原因。

  • .asa
  • .inc

下面的文件扩展名相关的是,当访问的文件,要么显示或要么由浏览器下载。因此,有这些扩展名的文件必须进行检查,以验证它们确实应该是提供服务的,而且它们不包含敏感信息。

 

 

  • .zip, .tar, .gz, .tgz, .rar, ...: (Compressed) archive files (压缩)档案文件
  • .java: No reason to provide access to Java source files 没有理由要提供 java 源文件
  • .txt: Text files 文本文件
  • .pdf: PDF documents PDF 文档
  • .doc, .rtf, .xls, .ppt, ...: Office documents office 文档
  • .bak, .old and other extensions indicative of backup files (for example: ~ for Emacs backup files) 备份文件(例如, ~ Emacs 备份文件)

上述内容只是几个例子给出的清单,因为文件扩展名太多,在这里不能穷尽。参照 http://filext.com/ ,一个内容更多的文件扩展名数据库。  

概括起来讲,为了确定文件有一个给定的扩展,可以依靠一系列的技术,其中包括:漏洞扫描, spidering mirroring 工具,手工检查应用程序(这克服了自动 spidering 的局限),查询搜索引擎(见 Spidering googleing )。另见 old file testing 有关 遗忘 文件的安全问题处理。

 

 

 

 

 

 

Gray Box testing and example 灰盒测试和示例

 

 检查在 web 应用结构中的 web 服务器和应用服务器的配置,确定它们是不是表现出与白盒测试不同的文件扩展名。如果 web 应用依赖负载均衡,多种基础配置,那么确定这是否会表现出不同的行为

 

 

 

 

工具

§  Vulnerability scanners, such as Nessus and Nikto check for the existence of well-known web directories. They may allow as well downloading the web site structure, which is helpful when trying to determine the configuration of web directories and how individual file extensions are served. Other tools that can be used for this purpose include:

§  wget - http://www.gnu.org/software/wget

§  curl - http://curl.haxx.se

§  Google for “web mirroring tools”.

 

 

 

 

 

tingirl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP DVWA SQL注入与盲注low级别
qq_42906381的博客
01-12 2036
DVWA SQL Injection 测试目标网址: http://192.168.247.150/dvwa/vulnerabilities/sqli/ low安全级别 进行手工注入测试 1' or 1=1 # 1' or '1'='1' # 测试成功,构造payload,完成漏洞注入利用 猜解查询语句的字段数 1' or 1=1 order by 1 # 1' or 1=1 order by 2 # 获取当前数据库名称 1' union select 1,database() # 获
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021 中文版V1.0.pdf 本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍...
OWASP-CM-001
tingirl的专栏
01-22 2824
Configuration Management Testing 配置管理测试 配置管理测试包括:源代码、HTTP准许、认证方法和基础设施的配置等CM一共有8个测试项。 OWASP-CM-001 SSL/TLS测试 即使使用高加密口令,一些错误的配置仍然可以导致使用弱口令也可以访问。
OWASP-CM-003
tingirl的专栏
01-25 643
 Infrastructure configuration management testing (OWASP-CM-003) 基础设施配置管理测试(个人觉得这个说法有点不妥,反正差不多这个意思吧) 具有巨大内在复杂性和异构互联的网络设备实施配置,可以承载数百个web应用,检查每一个单一应用。事实上,单一脆弱点可能导致整个架构的安全问题。为了
OWASP-CM-004
tingirl的专栏
01-25 702
Application configuration management testing (OWASP-CM-004)应用配置管理测试 应用结构中的任何元素的正确配置都是重要的,因为这可以阻止可能危害整个架构安全的错误。配置审查和测试在创造和维护应用结构的过程中是一个关键任务,因为如果对不同的系统使用通用配置,拿这些通用配置可能不适用于特定的网站。
OWASP-CM-002
tingirl的专栏
01-25 728
DB Listener Testing (OWASP-CM-002)数据库监听器测试 数据库的监听器是一个网络守护进程。它等待从远程客户端发起的连接请求。这个守护进程可以受到影响,从而影响到数据库的可用性。对于一个Oracle数据库来说,数据监听器就是一个远程连接的接入点。它侦听连接请求,并做出相应处理。如果测试人员可以访问这个服务,这个测试是可能的。测试应
OWASP总述
tingirl的专栏
12-31 1055
             早就想写这个日志了。 OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。 大概是
安全体系建设-OWASP
weixin_30270561的博客
08-06 102
OWASP Checklist Spiders, Robots and Crawlers IG-001 Search Engine Discovery/Reconnaissance IG-002 Identify application entry points IG-003 Testing for Web Application Fingerprint IG-...
应用安全-工具使用-Burpsuite
weixin_30527323的博客
08-06 794
A cheat sheet for PortSwigger Burp Suite application security testing framework. Send to Repeater Ctrl+R Send to Intruder Ctrl+I Forward intercepted Proxy message Ctrl+F Toggle Pr...
【软件测试】基础-概念篇
渐若窥宏大的博客
11-24 810
软件测试基础-概念篇 记录 - 慕课网 imooc 软件测试基础-概念篇 简介:系统介绍什么是软件测试,从软件测试的定义、原则以及测试阶段、测试模式、测试手段和测试类型分别详细说明软件测试中的各种测试概念,帮助你深入、清晰地理解软件测试。 文章目录软件测试基础-概念篇第1章 课程介绍课程目标软件测试的历史什么是软件测试?软件测试的测试对象五大要素和两个目标软件测试所遵循的原则第2章 软件测试阶段、...
OWASP-GoatDroid-0.9
07-17
OWASP-GoatDroid-0.9中,你可以期待以下内容: 1. 权限管理:Android系统基于权限模型运行,GoatDroid可能会模拟滥用权限的场景,如未经用户许可获取敏感信息或执行高权限操作。 2. 恶意代码注入:这可能包括了...
OWASP-WebScarab-master_owasp_
10-01
owasp library source
OWASP-AMASS:OWASP-AMASS原始分析
03-23
OWASP-AMASS OWASP-AMASS原始分析目录分析整个项目的Go代码大约25039行并不是太大就一个模块一个模块的看.├── alterations│ ├── alterations.go│ └── markov.go├── cmd 程序 入口 通过os.args[1]...
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 OWASP TOP 10 2021 中文版 V1.0 是一个全新的、使用新图形设计的项目,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
关于OWASP TESTING GUIDE
tingirl的专栏
01-27 745
今天一早收邮件,哈哈,guide V3的中文版已经出来了,就不用我辛辛苦苦的去翻译了。虽然大概看了看,翻译的不是很好,但是也很够用了。 链接:http://www.owasp.org/images/0/06/OWASP%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97%28%E4%B8%AD%E6%96%87%EF%BC%89.pdf 接下来关于这部分
OWASP-IG-001
tingirl的专栏
01-13 674
  information gathering就是信息搜集。在做渗透测试的过程中,搜集信息一定是第一步。 IG就是信息搜集。IG-001测试Spiders, Robots, and Crawlers 这一节主要描述如何测试robot.txt文件。 每个网站都有一个robot.txt,在这个文件中声明该网站中不想
OWASP-IG-003
tingirl的专栏
01-13 628
 Identify application entry points (OWASP-IG-003)识别应用程序的注入点 什么是注入点? 简而言之,就是可以被渗透进入的点。 对要攻击的应用程序有了初步的认识后,攻击者会试图定位由人为构造的输入而产生的错误信息。 通过一个拦截代理服务器(intercepting
OWASP-IG-006
tingirl的专栏
01-22 596
OWASP-IG-006 错误代码的分析 在这一节中,我们将分析比较常见的代码(错误信息)。一个很好的集合可以有效的降低整体的执行渗透测试的时间。Not FoundThe requested URL /page.html was not found on this server.Apache/2.2.3 (Unix)
OWASP-vbox
最新发布
10-12
OWASP-vbox 是一个基于 VirtualBox 的虚拟机,旨在为安全测试人员提供一个预先配置好的环境,以进行各种安全测试和漏洞利用。 该虚拟机包含了许多流行的安全工具和漏洞利用框架,如 Metasploit、Burp Suite、SQLMap...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值