Web 安全测试之信息泄漏测试

随着因特网的不断发展，人们对网络的使用越来越频繁，通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证，一些黑客利用站点安全性的漏洞来窃取用户的信息，使用户的个人信息泄漏，所以站点的安全性变得很重要。

Web 系统的安全性测试包括以下内容：

(1)Web 漏洞扫描

(2)服务器端信息测试

(3)文件和目录测试

(4)认证测试

(5)会话管理测试

(6)权限管理测试

(7)文件上传下载测试

(8)信息泄漏测试

(9)输入数据测试

(10)跨站脚本攻击测试

(11)逻辑测试

(12)搜索引擎信息测试

(13)Web Service 测试

(14)其他测试

本章节主要给大家介绍第(8)点——信息泄漏测试

消息泄漏测试主要是测试系统泄露敏感信息的风险。敏感信息包括数据库连接地址、账号和口令等信息，服务器系统信息，Web 服务器软件名称、版本，Web 网站路径，除html 之外的源代码，业务敏感数据等。

主要包括以下几方面内容：

>> 数据库账号密码测试

 >>客户端源代码敏感信息测试

 >>客户端源代码注释内容测试

>> 异常测试

 >>不安全的存储测试

 >>Web 服务器状态信息测试

 >>HappyAxis.jsp 页面测试

(1)数据库账号密码测试

测试连接数据库的账号密码在配置文件中是否以明文方式存储，如果是，就很容易被恶意维护人员获取，从而直接登录后台数据库进行数据篡改。

测试时找到连接数据库的账号密码所在的配置文件，查看配置文件中的账号密码是否被加密。

(2)客户端源代码敏感信息测试

客户端源代码敏感信息测试主要是测试Web 页面的HTML 源代码中是否包含口令等敏感信息，特别关注修改口令、带有星号口令的Web 页面。

测试进入一个有敏感信息的页面(如带有修改口令的页面)，单击右键查看源文件，源文件中不应包含明文的口令等敏感信息。

(3)客户端源代码注释内容测试

如果开发版本的Web 程序所带有的注释在发布版本中没有被去掉，也可能会导致一些敏感信息泄漏，测试时应该注意页面源代码中是否存在此类安全隐患。

测试进入一个有敏感信息的页面(如带有修改口令的页面)，单击右键，查看源文件中有关注释信息是否包含明文的口令等敏感信息。

(4)异常测试

异常测试主要是通过构造一些异常的条件来访问Web 系统，观察其返回的信息来判断系统是否存在信息泄漏的问题。通常异常处理包括三种情况：不存在的URL、非法字符和逻辑错误。

1)不存在的URL 主要是测试当客户提交不存在的URL 时，Web 系统返回的信息，观察返回信息中是否包含敏感信息。例如输入一个不存在的URL(http://192.168.3.9/unexist.jsp)，观察返回的错误信息中是否包含敏感信息。

2)非法字符导致信息泄漏是指，当用户提交包含特殊字符的URL 时，Web 系统可能返回错

误的信息，通过错误信息来判断是否存在敏感信息的泄漏问题。测试时在正常的URL 的参数中添加特殊字符%、*、;、’、?，如以下URL：

http://www.exmaple.com/page.xxx?name= value%

http://www.exmaple.com/page.xxx?name= value*

观察返回的信息，返回信息中不应包含敏感信息。

3)逻辑错误是指Web 应用在处理一些具有逻辑错误的请求时，可能会返回错误的信息，通过返回的错误信息来确认是否有敏感信息的泄漏问题。测试时根据详细说明书，尽可能地尝试使用违背业务逻辑处理的参数来访问Web 系统并观察Web 系统返回的异常信息。

(5)不安全的存储测试

不安全的存储测试主要是测试存储在服务器上的配置文件、日志、源代码等是否存在漏洞，该项测试没有具体的指导方法，测试时主要关注以下几个问题：

 >>上传文件所在的目录(包括临时目录)能否被直接远程访问。

 >>服务器配置文件目录或日志所存放的目录能否被直接访问。

>> 公用文件头(如数据库链接信息、源代码头文件等)是否采用不被服务器处理的后缀(如inc 作为文本格式直接输出)进行存储。

>> 在日志或数据库中是否能查找到明文的敏感信息。

(6)Web 服务器状态信息测试

Web 服务器状态信息测试主要是测试Web 服务器默认提供的服务器状态信息查询功能，是否会泄漏系统信息，进而存在被攻击的可能性。测试时进入Web服务器状态信息页面http://192.168.1.9/status?full=true，观察页面返回的信息，检查页面中是否包含服务器的敏感信息。

说明：该方法适用于Tomcat 和JBoss 服务器

(7)HappyAxis.jsp 页面测试

HappyAxis.jsp 页面测试主要是测试HappyAxis.jsp 页面中是否存在一些服务器的敏感信息。对于使用Axis 来发布的Web Service，默认是保存HappyAxis.jsp 页面。测试步骤如下：

步骤1：登录Web 服务器的操作系统

步骤2：在系统中查找HappyAxis.jsp 文件

步骤3： 使用查找到的目录信息来构造访问HappyAxis.jsp 页面的URL，并进行访问，如

http://192.168.1.9/axis3/happyaxis.jsp

如果能正常访问HappyAxis.jsp 文件，说明系统存在漏洞。

最后感谢每一个认真阅读我文章的人，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走：

​

这些资料，对于【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴上万个测试工程师们走过最艰难的路程，希望也能帮助到你！