Web安全测试—10文件上传下载测试

文件上传测试

编号	Web _01
测试用例名称	文件上传测试
测试目的	很多网站提供文件上传功能（包括图片上传），如果在服务器端没有对上传文件的类型、大小以及保存的路径及文件名进行严格限制，攻击者就很容易上传后门程序取得WebShell，从而控制服务器。
用例级别	一级
测试条件	Web业务运行正常 待测网站存在文件上传页面
执行步骤	登陆网站，并打开文件上传页面 点击“浏览”按钮，并选择本地的一个JSP文件（比如hacker.jsp），确认上传。 如果客户端脚本限制了上传文件的类型（比如允许gif文件），则把hacker.jsp更名为hacker.gif；配置HTTP Proxy（WebScarab）进行http请求拦截；重新点击“浏览”按钮，并选择hacker.gif，确认上传。 在WebScarab拦截的HTTP请求数据中，将hacker.gif修改为hacker.jsp，再发送请求数据。 登陆后台服务器，用命令find / -name hacker.jsp查看hacker.jsp文件存放的路径。如果可以直接以Web方式访问，则构造访问的URL，并通过浏览器访问hacker.jsp，如果可以正常访问，则已经取得WebShell，测试结束。如果hacker.jsp无法通过web方式访问，例如hacker.jsp存放在/home/tmp/目录下，而/home/tomcat/webapps目录对应http://www.example.com/，则进行下一步 重复1～3，在WebScarab拦截的HTTP请求数据中，将hacker.gif修改为../tomcat/webapps/hacker.jsp，再发送请求数据。 在浏览器地址栏输入http://www.example.com/hacker.jsp，访问该后门程序，取得WebShell，结束测试。
预期结果	服务器端对上传文件的类型、大小以及保存的路径及文件名进行严格限制，无法上传后门程序。
备注
测试结果

文件下载测试

编号	Web _02
测试用例名称	文件下载测试
测试目的	很多网站提供文件下载功能，如果网站对下载文件的权限控制不严，攻击者很容易利用目录跨越、越权下载到本不该下载的文件（比如其他用户的私有、敏感文件）。
用例级别	一级
测试条件	Web业务运行正常 已知某下载页面URL（假设用户a下载自己的指导书文件http://www.example.com/download/usera/test.xls）
执行步骤	猜测并更改URL路径 http://www.example.com/download/userb/test.xls http://www.example.com/download/userc/test.xls http://www.example.com/admin/report.xls ...... 观察页面返回信息，如果可以越权获取到其他用户的私有、敏感文件，则说明存在漏洞。
预期结果	不能越权获取到不该获取的文件
备注
参考资料