软件测试2019：第五次作业—— 安全测试（含安全测试工具实验）

一、回答下述问题：

1. 阐述常见的Web安全测试有几种类型？

需要考虑的情形：

（1）数据加密。某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输，包括用户登录密码、信用卡信息等。例如，在登录某银行网站时，该网站必须支持SSL协议，通过浏览器访问该网站时，地址栏的http变成https，建立https连接。这相当于在HTTR阳 TCP之间增加了一层加密——SSL协议。SSL是利用公开密钥/私有密钥的加密技术（RSA)，建立用户与服务器之间的加密通信，确保所传递信息的安全性。数据加密的安全性还包括加密的算法、密钥的安全性。

（2）登录或身份验证。一般的应用站点都会使用登录或者注册后使用的方式，因此，必须对用户名和匹配的密码进行校验，以阻止非法用户登录。在进行登录测试的时候，需要考虑输人的密码是否大小写敏感、是否有长度和条件限制，最多可以尝试多少次登录，哪些页面或者件需要登录后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等，并区分公共访问和受限访问，受限访问的资源。

（3)输人验证。Web页面有很多表单提交，实际每个输入域都可能是一个潜在的风险，黑客可以利用文字输入框，将攻击性的脚本输人进去，提交给服务器处理，来攻击服务器、有时，也可以在输人域提交一些危害性的脚本，提交上去，隐含到某个页面上，如某个文件的下载链当另外一个用户单击链接时，就可以调用相应的脚本来读取该用户硬盘的数据或用户名/口令，发送出去，类似于木马病毒。所以，在进行Web安全性测试时，每个输人域都需要用标的机制验证，长度、数据类型等符合设定要求，不允许输人JavaScript代码，包括验证从数据中检索的数据、传递到组件或Web服务的参数等。

（4)SQL注入。从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取必要的数据库信息，然后基于这些信息，可以注人某些参数，绕过程序的保护，针对数据库服务器进行攻击。例如，在原有URL地址后面加一个恒成立的条件(如or 1=1或or user>0)，这样、可以绕过系统的保护，对数据库进行操作。

（5)超时限制。Web应用系统一般会设定“超时”限制，当用户长时间（如15min)不做任何操作时，需要重新登录才能打开其他页面。会话（Session)的安全性还包括交换会话标识符、会话存储状态等的安全性。

（6)目录。Web的目录安全也是不容忽视的，如果Web程序或Web服务器的处理不适当，可以通过简单的URL替换和推测，使整个Web目录暴露出来，带来严重的安全隐患。可以采用某些方法将这种隐患降低到最小程度，如每个目录下都存在index.htm，以及严格设定Web服务器的目录访问权限。

（7)操作留痕。为了保证Web应用系统的安全性，日志文件是至关重要的，需要测试相关信息是否写进人了日志文件，是否可追踪。

常用类型：

跨站点攻击（Xcross-site Scripting，XSS）可以让攻击者在页面访问者的浏览器中执行JavaScript脚本，从而可以获得用户会话的安全信息、插入恶意的信息或者植入病毒等。按照注入的途径，一般分为三种

1.反射跨站点攻击（Reflected XSS）

服务器端获取http请求中的参数，未经安全检查或者重新编码过滤直接输出到客户端。如果这些参数是脚本，它将在客户端执行。

2.存储跨站点攻击（Stored XSS）

用户输入的数据存在服务器端（一般存在数据库中），其他用户访问某个页面时，这些数据未经过滤直接输出。这些数据可能是恶意的脚本，对其他用户造成危害。

3.基于DOM文档对象模型跨站点攻击(DOM-Based XSS)

攻击者构造一个包含恶意Javascript的URL，然后引诱用户请求这个URL。服务器收到请求后返回恶意的Javascript。

 

二、安全测试工具调研

1. 概述

列出常见的安全测试工具，表如下：

序号	安全测试工具	商用 OR 免费	检测对象（二进制代码/源代码）	简介
1	Metasploit	开源免费	源代码	能够验证绝大多数的安全漏洞，还可以进行实际的入侵工作
2	Nessus	个人用户免费、 商业用户收费	源代码	对本机或者其他可访问的服务器进行漏洞扫描
3	W3AF	免费	源代码	web应用安全的攻击、审计平台
4	Paros proxy	免费	源代码	基于Java的web代理程序，对web程序漏洞进行评估
5	WebScarab	免费	源代码	用简单的形式记录它观察到的会话，允许操作员观察会话
6	Nikto	免费	源代码	可以对web服务器多种项目进行全面测试
7	Wapiti	免费	源代码	直接对网页进行扫描，用于Web应用程序漏洞扫描和安全检测

选择一个开源的安全测试工具，开展试用，写一个试用报告。报告内容 安全测试工具试用

1）记录完整的测试过程（工具安装、环境设置、测试过程、结果分析），包括脚本文件；
2） 提交安全测试报告，描述所做的测试、遇到的问题、结果分析等，要包括主要的测试运行截图。

1.安装Metasploit

 

 需要关闭反病毒软件和防火墙

安装过程文件释放速度比较慢，硬盘负载比较高，运行前的准备时间较长。

2.启动服务，使用浏览器ui注册Metasploit

命令行console.bat启动

 

 

 

这个测试软件安装的时候要求挺多的，国内下载速度很慢，然后注册的时候浏览器经常卡死不动，而且不付费的话只能用校园邮箱去注册，免费试用14天，所以对于我这种初学者来说。相当难用，只得去国内的一些技术论坛去找说明，光安装过程就保存cnblog草稿n次。

转载于:https://www.cnblogs.com/xinglinxiaowang/p/10828061.html