一、概述
1.1、编写目的
结合公司的内部人员培养体系,本手册旨在为安全测试人员提供测试指导,安全测试人员通过查阅该指南可快速掌握 Web 应用安全测试,提高工作能力。
1.2、使用范围
本文适用于 Web 应用安全测试人员
1.3、注意事项
本文旨在为测试人员提供漏洞测试的基本思路,随着安全技术的发展,更多的新漏洞和测试方法将被爆出,安全测试人员应该具备不断学习新知识的能力。
二、Web应用安全测试指南
2.1、认证授权类
2.1.1、 明文传输
漏洞描述:密码明文传输一般存在于 web 网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截 取。
检测条件: 测试目标所有敏感信息传输功能处。
检测方法:
1.1、找到网站或者 web 系统登录页面。
1.2、通过对网站登录页面的请求进行抓包,工具可用 burp、wireshark、filder 等等,分析其数据包中相关 password(密码)参数的值是否为明文。
分险等级:
【中危】:传输数据包含明文密码、链接、明文身份证、明文地址等其他敏感信息。
【中危】:GET 方式明文传输用户名密码。
【中危】: Token 或者用户身份标识,以 GET 方式显示在 URL 中。
修复方案:
建议按照网站的密级要求,需要对密码传输过程中进行加密。
2.1.2、用户枚举
漏洞描述:
存在于系统的登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。
检测条件:
1、测试目标的登录功能、忘记密码功能。
2、登录错误回显不一至。
检测方法:
1、找到网站或者 web 系统登录页面。
2、在 web 系统登录页面,通过手工方式,利用系统中存在的用户名和不存在的用户名,密码随意,尝试登录,查看其回显内容。例如:输入存在的用户名 admin,回显如下:密码错误;输入不存在的用户名 test,回显如下:用户不存在。如图所示:
风险等级:
【中危】:可通过返回关键字对系统可用账号进行枚举。
修复方案:
1、建议对网站登录页面的判断回显信息修改为一致:用户名或密码错误。
2.1.3、用户名暴力破解
漏洞描述:
暴力破解的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。常常存在于网站的登录系统中,通过对已知的管理员用户名,进行对其登录口令的大量尝试。
检测条件:
1、测试目标具有登录页面。
2、登录页面无验证码,无锁定机制。
3、登陆页面有验证码,但可以进行识别或者无效。
检测方法:
1、找到网站登录页面。
2、利用 burp 对登录页面进行抓包,将其发送到 Intruder,并设置其密码参数,如 pwd=为变量,添加 payload(字典),进行攻击,攻击过程中查看其返回的字节长度,来判断是否成功。攻击效果如图所示:burpsuite 抓包使用 Intruder 模块进行爆破:
一般情况下,暴力破解有三种形式:
1) 固定账号对密码暴力破解。
2) 在得知账号具有规律性,或者通过某种方式获取到大量账号的前提下,固定密码对账号暴力破解。
3) 使用网上流传的账号密码库进行撞库攻击。
风险等级:
【中危】:存在暴力破解风险,但未暴破出密码。
修复方案:
1、账户锁定
账户锁定是很有效的方法,因为暴力破解程序在 5-6 次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。如果对已经锁定的账户并不返回任何信息,可能迷惑攻击者。
2、返回信息
如果不管结果如何都返回成功的信息,破解软件就会停止攻击。但是对人来说很快就会被识破。
3、页面跳转
产生登录错的的时候就跳到另一个页面要求重新登录。比如 126 和校内网都是这样做的。局限性在于不能总是跳转页面,一般只在第一次错误的时候跳转,但是第一次
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
