WEB安全測(cè)試分類及防范測(cè)試方法.doc

WEB安全測(cè)試分類及防范測(cè)試方法1 Web 應(yīng)用程序布署環(huán)境測(cè)試21.1HTTP 請(qǐng)求引發(fā)漏洞的測(cè)試21.2 操作系統(tǒng)目錄安全性及Web 應(yīng)用程序布署環(huán)境目錄遍歷問題測(cè)試22 應(yīng)用程序測(cè)試32.1 SQL 注入漏洞測(cè)試32.1.1 SQL注入漏洞攻擊實(shí)現(xiàn)原理32.1.2 SQL注入漏洞防范措施42.1.3 SQL注入漏洞檢測(cè)方法52.2 表單漏洞測(cè)試62.2.1 表單漏洞實(shí)現(xiàn)原理62.2.2 表單漏洞防范措施62.2.3 表單漏洞檢測(cè)方法62.3 Cookie欺騙漏洞測(cè)試82.3.1 Cookie欺騙實(shí)現(xiàn)原理82.3.2 Cookie欺騙防范措施82.3.3 Cookie欺騙監(jiān)測(cè)方法92.4 用戶身份驗(yàn)證測(cè)試92.4.1 用戶身份驗(yàn)證漏洞防范措施92.4.2 用戶身份驗(yàn)證檢測(cè)方法92.5 文件操作漏洞測(cè)試92.5.1 文件操作漏洞實(shí)現(xiàn)原理92.5.2 文件操作漏洞防范措施102.5.3 文件操作漏洞檢測(cè)方法102.6 Session 測(cè)試112.6.1 客戶端對(duì)服務(wù)器端的欺騙攻擊112.6.2直接對(duì)服務(wù)器端的欺騙攻擊112.6.3 Session漏洞檢測(cè)方法122.7 跨網(wǎng)站腳本(XSS)漏洞測(cè)試132.7.1 跨網(wǎng)站腳本（XSS）漏洞實(shí)現(xiàn)原理132.7.2 跨網(wǎng)站腳本（XSS）漏洞防范措施132.7.3 跨網(wǎng)站腳本（XSS）漏洞測(cè)試方法142.8 命令注射漏洞測(cè)試142.9 日志文件測(cè)試142.10 訪問控制策略測(cè)試142.10.1 訪問控制策略測(cè)試方法143 數(shù)據(jù)庫(kù)問題測(cè)試153.1 數(shù)據(jù)庫(kù)名稱和存放位置安全檢測(cè)153.2 數(shù)據(jù)庫(kù)本身的安全檢測(cè)153.3 數(shù)據(jù)使用時(shí)的一致性和完整性測(cè)試154 容錯(cuò)測(cè)試154.1 容錯(cuò)方案及方案一致性測(cè)試164.2 接口容錯(cuò)測(cè)試164.3 壓力測(cè)試161 Web 應(yīng)用程序布署環(huán)境測(cè)試用來架構(gòu)Web 網(wǎng)站的UNIX、LINUX、WINDOWS 等服務(wù)器端操作系統(tǒng)和服務(wù)器軟件都可能存在漏洞（如前不久被發(fā)現(xiàn)的LINUX 系統(tǒng)內(nèi)核漏洞），這些漏洞都會(huì)對(duì)Web 應(yīng)用程序造成安全威脅。因此，在布署Web 應(yīng)用程序前，應(yīng)對(duì)Web 應(yīng)用程序的布署環(huán)境進(jìn)行嚴(yán)格的測(cè)試，檢查一切已知的漏洞，發(fā)現(xiàn)新的漏洞，將應(yīng)用程序環(huán)境帶來的安全威脅降底到最低程度。1.1HTTP 請(qǐng)求引發(fā)漏洞的測(cè)試超長(zhǎng)URL 的HTTP 請(qǐng)求，特殊格式字符的HTTP 請(qǐng)求，某些不存在文件的HTTP 請(qǐng)求，COM Internet Services (CIS) RPC over HTTP 漏洞，從而引發(fā)拒絕服務(wù)，源代碼顯示，站點(diǎn)物理路徑泄露，執(zhí)行任意命令及命令注入等安全問題。因此，對(duì)非常規(guī)URL 的HTTP 請(qǐng)求要做全面的測(cè)試，以發(fā)現(xiàn)這方面的漏洞。測(cè)試工作以人工方式為主，并配以Tripwire和AIDE 的完整性檢查工具檢查系統(tǒng)文件，對(duì)于發(fā)現(xiàn)的漏洞，可采取關(guān)閉所有不必要的服務(wù)和安裝系統(tǒng)補(bǔ)丁加固系統(tǒng)。另外要保持對(duì)最新補(bǔ)丁和安全公告的追蹤，在實(shí)驗(yàn)環(huán)境進(jìn)行測(cè)試后正式安裝在布署Web 應(yīng)用程序的主機(jī)上。1.2 操作系統(tǒng)目錄安全性及Web 應(yīng)用程序布署環(huán)境目錄遍歷問題測(cè)試目錄權(quán)限和目錄安全性直接影響著Web 的安全性。測(cè)試中要檢查Web 應(yīng)用程序布署環(huán)境的目錄權(quán)限和安全性，不給惡意用戶任何可用的權(quán)限。目錄遍歷可能導(dǎo)致用戶從客戶端看到或下載、刪除Web 服務(wù)器文件。因此，要測(cè)試Web 應(yīng)用程序及布署環(huán)境是否存在目錄遍歷問題；若存在該漏洞，可通過在各級(jí)目錄中存放默認(rèn)文檔或及時(shí)升級(jí)系統(tǒng)來避免。1.3 系統(tǒng)中危險(xiǎn)組件的測(cè)試系統(tǒng)中危險(xiǎn)組件的存在，會(huì)給惡意用戶留下非常危險(xiǎn)的“ 后門”。如惡意用戶可利用Windows 系統(tǒng)中存在的FileSystemObject 組件篡改、下載或刪除服務(wù)器中的任何文件。因此，若系統(tǒng)中需要使用這些組件，可將這些組件更名；否則將其刪除。1.4 TCP 端口測(cè)試開放非必要的端口，會(huì)給Web 應(yīng)用程序帶來安全威脅。因此，在布署Web 應(yīng)用程序前，要用端口掃描軟件對(duì)布署環(huán)境進(jìn)行TCP 端口測(cè)試，禁止UDP，只開啟必要的TCP 端口。另外，在系統(tǒng)運(yùn)行過程中要不斷測(cè)試，在服務(wù)器端使用lsof 工具(For Unix)或者Inzider 工具(For windows)掃描端口使用情況，必要時(shí)從遠(yuǎn)程使用Nmap 工具進(jìn)行異常端口占用檢測(cè)。如果發(fā)現(xiàn)有未知的進(jìn)程占用端口，要關(guān)閉端口或殺掉進(jìn)程。2 應(yīng)用程序測(cè)試應(yīng)用程序中存在的漏洞是影響Web 安全的主要方面，程序員編寫的軟件都可能有漏洞，有些漏洞可能要經(jīng)過許多年后才會(huì)被發(fā)現(xiàn)。特別是不斷新加的功能，這些改動(dòng)，都會(huì)帶來安全方面的問題。因此，應(yīng)用程序測(cè)試要伴隨著系統(tǒng)開發(fā)、布署和運(yùn)行的全過程。2.1 SQL 注入漏洞測(cè)試2.1.1 SQL注入漏洞攻擊實(shí)現(xiàn)原理SQL（Structured Query Language）是一種用來和數(shù)據(jù)庫(kù)交互的語(yǔ)言文本。SQL注入的攻擊原理就是攻擊者通過Web應(yīng)用程序利用SQL語(yǔ)句或字符串將非法的數(shù)據(jù)插入到服務(wù)器端數(shù)據(jù)庫(kù)中，獲取數(shù)據(jù)庫(kù)的管理用戶權(quán)限，然后將數(shù)據(jù)庫(kù)管理用戶權(quán)限提升至操作系統(tǒng)管理用戶權(quán)限，控制服務(wù)器操作系統(tǒng)，獲取重要信息及機(jī)密文件。SQL注入利用的是正常的HTTP服務(wù)端口，表面上看來和正常的web訪問沒有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。SQL注入過程如上圖所示，SQL注入攻擊過程分為五個(gè)步驟：第一步：判斷Web環(huán)境是否可以SQL注入。如果URL僅是對(duì)網(wǎng)頁(yè)的訪問，不存在SQL注入問題，如：/162414739931.shtml就是普通的網(wǎng)頁(yè)訪問。只有對(duì)數(shù)據(jù)庫(kù)進(jìn)行動(dòng)態(tài)查詢的業(yè)務(wù)才可能存在SQL注入，如：/webhp?id39，其中?id39表示數(shù)據(jù)庫(kù)查詢變量，這種語(yǔ)句會(huì)在數(shù)據(jù)庫(kù)中執(zhí)行，因此可能會(huì)給數(shù)據(jù)庫(kù)帶來威脅。第二步：尋找SQL注入點(diǎn)。完成上一步的片斷后，就要尋找可利用的注入漏洞，通過輸入一些特殊語(yǔ)句，可以根據(jù)瀏覽器返回信息，判斷數(shù)據(jù)庫(kù)類型，從而構(gòu)建數(shù)據(jù)庫(kù)查詢語(yǔ)句找到注入點(diǎn)。第三步：猜解用戶名和密碼。數(shù)據(jù)庫(kù)中存放的表名、字段名都是有規(guī)律可言的。通過構(gòu)建特殊數(shù)據(jù)庫(kù)語(yǔ)句在數(shù)據(jù)庫(kù)中依次查找表名、字段名、用戶名和密碼的長(zhǎng)度，以及內(nèi)容。這個(gè)猜測(cè)過程可以通過網(wǎng)上大量注入工具快速實(shí)現(xiàn)，并借助破解網(wǎng)站輕易破譯用戶密碼。第四步：尋找WEB管理后臺(tái)入口。通常WEB后臺(tái)管理的界面不面向普通用戶開放，要尋找到后臺(tái)的登陸路徑，可以利用掃描工具快速搜索到可能的登陸地址，依次進(jìn)行嘗試，就可以試出管理臺(tái)的入口地址。第五步：入侵和破壞。成功登陸后臺(tái)管理后，接下來就可以任意進(jìn)行破壞行為，如篡改網(wǎng)頁(yè)、上傳木馬、修改、泄漏用戶信息等，并進(jìn)一步入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器。2.1.2 SQL注入漏洞防范措施SQL注入漏洞攻擊的防范方法有很多種，現(xiàn)階段總結(jié)起來有以下方法：（1）數(shù)據(jù)有效性校驗(yàn)如果一個(gè)輸入框只可能包括數(shù)字，那么要通過校驗(yàn)確保用戶輸入的都是數(shù)字。如果可以接受字母，那就要檢查是不是存在不可接受的字符，最好的方法是增加字符復(fù)雜度自動(dòng)驗(yàn)證功能。確保應(yīng)用程序要檢查以下字符：分號(hào)、等號(hào)、破折號(hào)、括號(hào)以及SQL關(guān)鍵字。另外限制表單數(shù)據(jù)輸入和查詢字符串輸入的長(zhǎng)度也是一個(gè)好方法。如果用戶的登錄名最多只有10個(gè)字符，那么不要認(rèn)可表單中輸入10個(gè)以上的字符，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。（2）封裝數(shù)據(jù)信息對(duì)客戶端提交的數(shù)據(jù)進(jìn)行封裝，不要將數(shù)據(jù)直接存入cookie中，方法就是在編程的代碼中，插入session、if、try、else，這樣可以有效地防止攻擊者獲取cookie中的重要信息。（3）去除代碼中的敏感信息將在代碼中存在的用戶名、口令信息等敏感字段刪除，替換成輸入框。如：SQL= select from users where username = adminand password= 1234567 這樣顯然會(huì)暴露管理員的用戶名、口令信息?？梢詫⑵湫薷某蒘QL= select * from users where username= +Txtuser.Text + and userpwd= + Textpwd.Text + ，這樣就安全了很多，入侵者也是不會(huì)輕易的就獲取到用戶名、口令信息。（4）替換或刪除單引號(hào)使用雙引號(hào)替換掉所有用戶輸入的單引號(hào)，這個(gè)簡(jiǎn)單的預(yù)防措施將在很大程度上預(yù)防SQL注入漏洞攻擊，單引號(hào)時(shí)常會(huì)無法約束插入數(shù)據(jù)的Value，可能給予輸入者不必要的權(quán)限。用雙引號(hào)替換掉單引號(hào)可以使大部分SQL注入漏洞攻擊失敗。如：“select* from users where username= + admin + and userpwd= + 1234567+ ”顯然會(huì)得到與“select * from users where username=admin and password= 1234567”相同的結(jié)果。（5）指定錯(cuò)誤返回頁(yè)面攻擊者有時(shí)從客戶端嘗試提交有害代碼和攻擊字符串，根據(jù)Web Service給出的錯(cuò)誤提示信息來收集程序及服務(wù)器的信息，從而獲取想得到的資料。應(yīng)在Web Service中指定一個(gè)不包含任何信息的錯(cuò)誤提示頁(yè)面。（6）限制SQL字符串連接的配置文件使用SQL變量，因?yàn)樽兞坎皇强梢詧?zhí)行的腳本，即在Web頁(yè)面中將連接數(shù)據(jù)庫(kù)的SQL字符串替換成指定的Value，然后將Web.config文件進(jìn)行加密，拒絕訪問。（7）設(shè)置Web目錄的訪問權(quán)限將虛擬站點(diǎn)的文件目錄禁止游客用戶（如：Guest用戶等）訪問，將User用戶權(quán)限修改成只讀權(quán)限，切勿將管理權(quán)限的用戶添加到訪問列表。（8）最小服務(wù)原則Web服務(wù)器應(yīng)以最小權(quán)限進(jìn)行配置，只提供Web服務(wù)，這樣可以有效地阻止系統(tǒng)的危險(xiǎn)命令，如ftp、cmd、vbscript等。（9）鑒別信息加密存儲(chǔ)將保存在數(shù)據(jù)庫(kù)users表中的用戶名、口令信息以密文形式保存，也可以對(duì)users表進(jìn)行加密處理，這樣可以大大增加對(duì)鑒別信息訪問的安全級(jí)別。（10）用戶權(quán)限分離應(yīng)盡可能的禁止或刪除數(shù)據(jù)庫(kù)中sa權(quán)限用戶的訪問，對(duì)不同的數(shù)據(jù)庫(kù)劃分不同的用戶權(quán)限，這樣不同的用戶只能對(duì)授權(quán)給自己的數(shù)據(jù)庫(kù)執(zhí)行查詢、插入、更新、刪除操作，就可以防止不同用戶對(duì)非授權(quán)的數(shù)據(jù)庫(kù)進(jìn)行訪問。2.1.3 SQL注入漏洞檢測(cè)方法SQL注入漏洞攻擊檢測(cè)分為入侵前的檢測(cè)和入侵后的檢測(cè)。入侵前的檢測(cè)，可以通過手工方式，也可以使用SQL注入漏洞掃描工具軟件。檢測(cè)的目的是為預(yù)防SQL注入漏洞攻擊，而對(duì)于SQL注入漏洞攻擊后的檢測(cè)，主要是針對(duì)審計(jì)日志的查看，SQL注入漏洞攻擊成功后，會(huì)在Web Service和數(shù)據(jù)庫(kù)的審計(jì)日志中留下“痕跡”。檢測(cè)方法如下：（1）動(dòng)態(tài)SQL檢查動(dòng)態(tài)的SQL語(yǔ)句是一個(gè)進(jìn)行數(shù)據(jù)庫(kù)查詢的強(qiáng)大的工具，但把它和用戶輸入混合在一起就使SQL注入成為了可能。將動(dòng)態(tài)的SQL語(yǔ)句替換成預(yù)編譯的SQL或者存儲(chǔ)過程對(duì)大多數(shù)應(yīng)用程序是可行的。預(yù)編譯的SQL或者存儲(chǔ)過程可以將用戶的輸入作為參數(shù)而不是命令來執(zhí)行，這樣就限制了入侵者的行動(dòng)。當(dāng)然，它不適用于存儲(chǔ)過程中利用用戶輸入來生成SQL命令的情況。在這種情況下，用戶輸入的SQL命令仍可能得到執(zhí)行，數(shù)據(jù)庫(kù)仍然存在SQL注入漏洞攻擊的危險(xiǎn)。（2）有效性校驗(yàn)如果一個(gè)輸入框只可能包括數(shù)字，那么要通過驗(yàn)證確保用戶輸入的都是數(shù)字。如果可以接受字母，檢查是不是存在不可接受的字符，那就需要設(shè)置字符串檢查功能。確保應(yīng)用程序要檢查以下字符：分號(hào)、等號(hào)、破折號(hào)、括號(hào)以及SQL關(guān)鍵字。（3）數(shù)據(jù)表檢查 使用SQL注入漏洞攻擊工具軟件進(jìn)行SQL注入漏洞攻擊后，都會(huì)在數(shù)據(jù)庫(kù)中生成一些臨時(shí)表。通過查看數(shù)據(jù)庫(kù)中最近新建的表的結(jié)構(gòu)和內(nèi)容，可以判斷是否曾經(jīng)發(fā)生過SQL注入漏洞攻擊。（4）審計(jì)日志檢查 在Web服務(wù)器中如果啟用了審計(jì)日志功能，則Web Service審計(jì)日志會(huì)記錄訪問者的IP地址、訪問時(shí)間、訪問文件等信息，SQL注入漏洞攻擊往往會(huì)大量訪問某一個(gè)頁(yè)面文件（存在SQL注入點(diǎn)的動(dòng)態(tài)網(wǎng)頁(yè)），審計(jì)日志文件會(huì)急劇增加，通過查看審計(jì)日志文件的大小以及審計(jì)日志文件中的內(nèi)容，可以判斷是否發(fā)生過SQL注入漏洞攻擊事件；另外還可以通過查看數(shù)據(jù)庫(kù)審計(jì)日志，查詢某個(gè)時(shí)間段是否有非法的插入、修改、刪除操作。（5）其他 SQL注入漏洞攻擊成功后，入侵者往往會(huì)添加特權(quán)用戶（如：administrator、root、sa等）、開放非法的遠(yuǎn)程服務(wù)以及安裝木馬后門程序等，可以通過查看用戶帳戶列表、遠(yuǎn)程服務(wù)開啟情況、系統(tǒng)最近日期產(chǎn)生的一些文件等信息來判斷是否發(fā)生過入侵。SQL 注入攻擊源于英文“SQL Injection Attack”。微軟技術(shù)中心從兩個(gè)方面對(duì)SQL 注入攻擊進(jìn)行了描述：一是腳本注入式的攻擊；二是惡意用戶輸入用來影響被執(zhí)行的SQL腳本。Stephen Kost 對(duì)這種攻擊形式的描述是“從一個(gè)數(shù)據(jù)庫(kù)獲得未經(jīng)授權(quán)的訪問和直接檢索”。SQL 注入就其本質(zhì)而言，是利用SQL 語(yǔ)法，對(duì)應(yīng)用程序中的漏洞的攻擊。當(dāng)攻擊者能夠操縱數(shù)據(jù)，在應(yīng)用程序中插入一些SQL 語(yǔ)句時(shí)，SQL 注入攻擊就發(fā)生了。理論上，這種攻擊對(duì)于所有基于SQL 語(yǔ)言標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)軟件都是有效的，包括MS SQL Server，Oracle，DB2，Sybase，MySQL等。特別是現(xiàn)在一些AQL 注入攻擊工具的出現(xiàn)，使得Web應(yīng)用更易遭到SQL 注入攻擊。原始的手工測(cè)試不適用于大型Web 應(yīng)用程序，可使用N-Stealth、WebInspect、Wikto WebScarab、Nikto 等工具進(jìn)行掃描，測(cè)試系統(tǒng)是否存在SQL 注入的安全漏洞。為防止SQL 注入，程序員編寫代碼時(shí)，要對(duì)客戶端和服務(wù)端進(jìn)行兩級(jí)檢查。檢查數(shù)據(jù)類型、數(shù)據(jù)長(zhǎng)度和敏感字符的合法性?？蛻舳藱z查可減少網(wǎng)絡(luò)流量，降低服務(wù)器負(fù)荷，將一般誤操作、低等級(jí)攻擊與高等級(jí)攻擊行為區(qū)分開來。對(duì)于繞開客戶端檢查的攻擊，提交的數(shù)據(jù)被直接發(fā)往服務(wù)端，服務(wù)端檢查到的提交異?；究梢哉J(rèn)定為惡意攻擊行為所致，就應(yīng)中止提交信息的處理，進(jìn)行攻擊備案，并對(duì)客戶端給出出錯(cuò)或警告提示。另外，在構(gòu)造查詢時(shí)，應(yīng)根據(jù)用戶輸入的內(nèi)容設(shè)置參數(shù)值來創(chuàng)建參數(shù)化查詢，從而避免SQL 注入及由此帶來的安全問題。2.2 表單漏洞測(cè)試2.2.1 表單漏洞實(shí)現(xiàn)原理表單提交是當(dāng)前Web應(yīng)用中的重要內(nèi)容，用戶可以通過這種方式與服務(wù)器進(jìn)行數(shù)據(jù)傳遞。在通常情況下，會(huì)在提交表單之前在服務(wù)器上進(jìn)行表單數(shù)據(jù)的驗(yàn)證，這樣可以節(jié)省服務(wù)器資源，但同時(shí)也為服務(wù)器帶來了安全漏洞。表單提交的數(shù)據(jù)的驗(yàn)證和服務(wù)端數(shù)據(jù)接收的方法直接影響到Web 的安全。隨著大量的支持參數(shù)的“模糊化”（“fuzzing”）、腐朽（corruption）、以及野蠻強(qiáng)制增長(zhǎng)工具的出現(xiàn)，使用非校驗(yàn)輸入進(jìn)行攻擊造成的安全問題越來越多。因此，表單漏洞測(cè)試是Web 安全所必需的。2.2.2 表單漏洞防范措施為防止表單漏洞的攻擊，編程時(shí)應(yīng)有一個(gè)中心化的、強(qiáng)大的驗(yàn)證機(jī)制來對(duì)所有HTTP 請(qǐng)求的輸入進(jìn)行驗(yàn)證，過濾可能危及后臺(tái)數(shù)據(jù)庫(kù)的特殊字符、腳本語(yǔ)言和命令。為防止攻擊者繞過客戶端的安全機(jī)制，對(duì)這些字符的檢測(cè)應(yīng)在Web 服務(wù)端實(shí)現(xiàn)，采用清除或者強(qiáng)制替換的方法避免服務(wù)器端的安全，并且使用MD5 哈希(hash)函數(shù)或者時(shí)間戳數(shù)字簽名技術(shù)對(duì)客戶端敏感數(shù)據(jù)必須進(jìn)行完整性保護(hù)。解決這種漏洞的方法為在提交表單頁(yè)面進(jìn)行校驗(yàn)的同時(shí)，在接收表單的處理頁(yè)面也進(jìn)行校驗(yàn)，這樣即使用戶使用非法方式提交的非法數(shù)據(jù)通過了頁(yè)面驗(yàn)證也無法通過服務(wù)器上的驗(yàn)證。2.2.3 表單漏洞檢測(cè)方法 表單數(shù)據(jù)提交測(cè)試。l 對(duì)表單數(shù)據(jù)提交的測(cè)試，主要檢查程序中是否對(duì)表單所提交數(shù)據(jù)的完整性、正確性進(jìn)行了驗(yàn)證（如果在頁(yè)面部分進(jìn)行驗(yàn)證的話），如：查詢條件輸入一些特殊字符，比如“-”，“，”，“”等會(huì)使查詢的SQL語(yǔ)句出錯(cuò)l 檢查程序中是否屏蔽了表單提交的html 語(yǔ)句、VBScript 和Jscript 等客戶端腳本語(yǔ)句l 檢查是否會(huì)出現(xiàn)“腳本利用”問題l 檢查程序是否對(duì)表單域長(zhǎng)度進(jìn)行了真正的限制l 檢查是否存在重復(fù)提交數(shù)據(jù)的問題l 檢查這些驗(yàn)證是否在服務(wù)器端進(jìn)行對(duì)表單提交數(shù)據(jù)的測(cè)試，可以采用手工和編寫可重復(fù)使用的腳本代碼相結(jié)合的方法，進(jìn)行邊界值測(cè)試、等價(jià)類測(cè)試，以及異常類測(cè)試。編寫的腳本代碼可以在測(cè)試、回歸測(cè)試時(shí)運(yùn)行。若在測(cè)試中發(fā)現(xiàn)數(shù)據(jù)完整性、正確性驗(yàn)證只是在客戶端進(jìn)行，應(yīng)在服務(wù)器端增加對(duì)表單提交數(shù)據(jù)的驗(yàn)證，防止出現(xiàn)本地提交表單的漏洞。 本地提交表單的漏洞測(cè)試。本地提交表單的漏洞容易受到參數(shù)篡改的攻擊。這類測(cè)試可用手工的方式進(jìn)行。對(duì)于如下用戶注冊(cè)頁(yè)面：1. 2. functioncheckUser() 3. if(document.getElementById(userName).value=) 4. document.getElementById(button).disabled=true; 5. alert(用戶名不可以為空); 6. returnfalse; 7. else 8. document.getElementById(button).disabled=false; 9. 10. 11. functioncheckPsw() 12. if(document.getElementById(password).value=) 13. document.getElementById(button).disabled=true; 14. alert(密碼不可以為空); 15. returnfalse; 16. else 17. document.getElementById(button).disabled=false; 18. 19. 20. 21. 22. 23. 24. 25. 此頁(yè)面中的JavaScript對(duì)表單中用戶名和密碼是否為空進(jìn)行了判斷，如果用戶名或密碼有一者為空時(shí)就會(huì)將提交按鈕設(shè)置為不可用，這樣可以阻止用戶的提交。但是這個(gè)頁(yè)面的內(nèi)容可以完全通過查看頁(yè)面源代碼的方式看到，用戶可以通過查看源代碼的方式將其中的JavaScript部分去掉，同時(shí)將表單action請(qǐng)求指向此頁(yè)面原來的地址，然后將修改后的頁(yè)面保存為一個(gè)靜態(tài)HTML頁(yè)面，這樣就可以完成一個(gè)非法的數(shù)據(jù)提交。修改之后的頁(yè)面代碼如下：1. 2. 3. 4. 5. 如此一個(gè)頁(yè)面，完全允許用戶提交任何一種數(shù)據(jù)，包括空的用戶名和密碼。2.3 Cookie欺騙漏洞測(cè)試2.3.1 Cookie欺騙實(shí)現(xiàn)原理Cookie最先是由Netscape（網(wǎng)景）公司提出的，Netscape官方文檔中對(duì)Cookie的定義是這樣的：Cookie是在HTTP協(xié)議下，服務(wù)器或腳本可以維護(hù)客戶工作站上信息的一種方式。Cookie的用途非常廣泛，在網(wǎng)絡(luò)中經(jīng)?？梢砸姷紺ookie的身影。它通常被用來辨別用戶身份、進(jìn)行session跟蹤，最典型的應(yīng)用就是保存用戶的賬號(hào)和密碼用來自動(dòng)登錄網(wǎng)站和電子商務(wù)網(wǎng)站中的“購(gòu)物車”。Cookie注入簡(jiǎn)單來說就是利用Cookie而發(fā)起的注入攻擊。從本質(zhì)上來講，Cookie注入與傳統(tǒng)的SQL注入并無不同，兩者都是針對(duì)數(shù)據(jù)庫(kù)的注入，只是表現(xiàn)形式上略有不同罷了。2.3.2 Cookie欺騙防范措施（1）刪除Cookie記錄在IE瀏覽器【工具】【Internet選項(xiàng)】中刪除Cookie，也可借助相應(yīng)安全軟件來實(shí)現(xiàn)。（2）更改Cookie文件的保存位置在【Internet選項(xiàng)】對(duì)話框中單擊【設(shè)置】按鈕，在設(shè)置頁(yè)面單擊【移動(dòng)文件夾】出現(xiàn)如下圖，在其中設(shè)置相應(yīng)保存位置（如F:），即可成功更改Cookie文件的保存位置。 （3）添加防注入代碼2.3.3 Cookie欺騙監(jiān)測(cè)方法如果系統(tǒng)使用了cookie，就要對(duì)cookie 的使用情況進(jìn)行檢測(cè)。檢查Cookies 在生存期內(nèi)能否正常工作而且對(duì)這些信息是否加密，是否按預(yù)定的時(shí)間進(jìn)行保存，是否存在cookie 可被偽造提交的問題，刷新對(duì)Cookie 有什么影響及過期處理等。2.4 用戶身份驗(yàn)證測(cè)試2.4.1 用戶身份驗(yàn)證漏洞防范措施l 限制用戶名、密碼最大字符數(shù)、字符類型l 限制登錄次數(shù)，超出允許次數(shù)后給出友好提示l 限制用戶權(quán)限用戶身份驗(yàn)證，客戶端提交的密碼需加密，服務(wù)端驗(yàn)證密碼使用MD5，若在測(cè)試中發(fā)現(xiàn)問題，應(yīng)及時(shí)修改代碼，使用加密碼算法對(duì)密碼加密。2.4.2 用戶身份驗(yàn)證檢測(cè)方法l 測(cè)試有效和無效的用戶名和密碼，測(cè)試是否大小寫敏感，是否有最大字符數(shù)的限制規(guī)則等。l 測(cè)試重試次數(shù)的限制，如果登錄失敗的次數(shù)超過允許值，應(yīng)用程序?qū)?huì)做出何種反應(yīng) （譬如拒絕此IP地址在短時(shí)間內(nèi)的登錄）。l 測(cè)試是否可以利用歷史登錄信息或以前的URL來繞開登錄程序。l 測(cè)試執(zhí)行添加、刪除、修改等動(dòng)作中是否需要登錄操作，退出系統(tǒng)之后的操作是否仍可繼續(xù)等。l 測(cè)試用戶密碼是否符合指定要求（字符、長(zhǎng)度），如果不符合，對(duì)有什么影響，新用戶自己修改密碼后，創(chuàng)建時(shí)分配的密碼是否會(huì)失效。l 測(cè)試用戶賬戶過期后，是否完全、正確的刪除其信息或使其失效。l 是否存在不驗(yàn)證而直接進(jìn)入Web 應(yīng)用系統(tǒng)的問題，是否存在不登錄就可查看非會(huì)員頁(yè)面和權(quán)限問題。用戶身份驗(yàn)證測(cè)試一般使用手工和測(cè)試工具相結(jié)法的方法，若在測(cè)試中發(fā)現(xiàn)問題，應(yīng)及時(shí)修改代碼，使用加密碼算法對(duì)密碼加密，采用Session 對(duì)象進(jìn)行登錄驗(yàn)證。2.5 文件操作漏洞測(cè)試2.5.1 文件操作漏洞實(shí)現(xiàn)原理上存漏洞常見有，文件名檢測(cè)漏洞，還有就是文件格式檢查漏洞。 另外還有一個(gè)，就是保存文件存在漏洞。這類漏洞，主要是可以讀取用戶傳入路徑名稱，采用不正確的過濾方法，導(dǎo)致惡意用戶，將文件上存到非預(yù)期的地方，帶來安全隱患。2.5.2 文件操作漏洞防范措施抓住幾個(gè)地方即可，先來分析下，既然用戶要上存文件，而且文件將是多種多樣格式；可能有的文件內(nèi)容與用戶傳入格式不一致，有的文件內(nèi)容還夾雜木馬代碼。 那么，我們讓用戶上存文件，跟站點(diǎn)文件做一個(gè)分別授權(quán)，做隔離。l 讓保存上存目錄獨(dú)立開來，目錄權(quán)限只讀不能執(zhí)行這一步從系統(tǒng)設(shè)計(jì)加以授權(quán)，無論你上次什么文件，都不可能執(zhí)行到。就算我不做任何檢測(cè)，你的文件都上存到這里了，也不會(huì)對(duì)我系統(tǒng)構(gòu)成安全。（如果有用戶上存一些反動(dòng)言語(yǔ)的圖片，那另外需要處理的）l 不直接使用服務(wù)器傳入值，所有都要進(jìn)行檢測(cè)這類跟我們做一切輸入都是有害原則一樣，對(duì)于客戶端傳入的：type, name ，都要進(jìn)行判斷，不直接使用。對(duì)于要生成到某個(gè)目錄，某個(gè)文件名。文件名最好方法是：自己寫死目錄（不要讀取傳入目錄），文件名，最好自己隨機(jī)生成，不讀取用戶文件名。文件擴(kuò)展名，可以取最右邊”.”后面字符。以上2個(gè)方法，剛好從2個(gè)方面對(duì)上存做了整體約束。方法1：只要保證文件寫對(duì)了位置，然后從配置上，對(duì)寫入目錄進(jìn)行權(quán)限控制，這個(gè)是治本?？梢宰龅?，你無論上存什么文件，都讓你沒有權(quán)限跳出去可以運(yùn)行。方法2 ： 保存上存文件名，按照自己指定目錄寫入，并且文件名自己生成的。以上2個(gè)方法，一起使用，可以保證文件正確存到地方，然后，權(quán)限可以控制。 這里順便說明下， 判斷用戶上存文件是否滿足要求類型，就直接檢查文件擴(kuò)展名，只要滿足擴(kuò)展名就讓上存。 反正，做了執(zhí)行權(quán)限限制，你不按要求上存內(nèi)容，也無妨。 反正，不能執(zhí)行，也不會(huì)有多大危害性的。正確步驟：1.讀取文件名，驗(yàn)證擴(kuò)展名是不是在范圍內(nèi)2.自己定義生成的文件名，目錄，擴(kuò)展名可以來自文件名擴(kuò)展名。 其它值，都自己配置，不讀取上存中內(nèi)容3.將文件 移到新目錄(這個(gè)目錄權(quán)限設(shè)置只讀)2.5.3 文件操作漏洞檢測(cè)方法l 測(cè)試系統(tǒng)是否允許上傳腳本文件、可執(zhí)行文件等有可能給系統(tǒng)帶來危害的文件。l 若有下載功能，可供下載的文件是否與系統(tǒng)的程序分別存放，是否存在數(shù)據(jù)庫(kù)文件、包含文件和頁(yè)面文件下載的可能。文件操作漏洞測(cè)試一般使用手工測(cè)試的方法，若發(fā)現(xiàn)問題，應(yīng)及時(shí)修改代碼并將可供下載的文件重新布署。2.6 Session 測(cè)試2.6.1 客戶端對(duì)服務(wù)器端的欺騙攻擊 攻擊原理在用戶訪問并登錄了某個(gè)網(wǎng)站后，該網(wǎng)站的服務(wù)器就會(huì)給該用戶機(jī)子上分配一個(gè)sessionid，此信息是通過客戶機(jī)的cookies存放在某一文件夾里面的。session本身并不是長(zhǎng)期有效，每一個(gè)session在客戶端關(guān)閉瀏覽器后sessionid都會(huì)自動(dòng)撤銷，但服務(wù)端默認(rèn)保存20分鐘。正是有這20分鐘的時(shí)間，給欺騙帶來了可能。服務(wù)器端對(duì)不同用戶的識(shí)別，只能通過sessionid進(jìn)行，也就是說網(wǎng)站服務(wù)器端是“只認(rèn)id不認(rèn)人”，只要id符合，就認(rèn)為是合法用戶，所以攻擊者只要得到了被攻擊對(duì)象的sessionid就可以以被攻擊對(duì)象的身份合法登錄，而20分鐘的默認(rèn)保留值，也使得攻擊者即使在被攻擊對(duì)象關(guān)閉瀏覽器后依然有一定的時(shí)間成功登錄。當(dāng)前利用此原理進(jìn)行攻擊的常用手法是利用網(wǎng)站本身的xss漏洞或者是誘騙被攻擊者點(diǎn)擊相應(yīng)鏈接，以使其隱蔽訪問攻擊者事先假設(shè)好的網(wǎng)站并執(zhí)行惡意代碼，獲取被攻擊者的cookies信息從而得到sessionid。最后用可以修改sessionid的瀏覽器或其它可以提交數(shù)據(jù)的工具偽裝成被攻擊者的id合法登錄。 防范措施此類攻擊過程較為隱蔽，但也有其局限性。因?yàn)閟ession本身有時(shí)間限制，特別是用戶在關(guān)閉瀏覽器后，留給攻擊者的時(shí)間也只有20分鐘。另外，在觸發(fā)機(jī)制上，盜竊cookies代碼的執(zhí)行必須是用戶自己觸發(fā)，也就是說，用戶什么時(shí)候觸發(fā)代碼，攻擊者是不知道的，從用戶觸發(fā)惡意代碼到session失效，攻擊者只有很短的時(shí)間進(jìn)行非法活動(dòng)。所以，要對(duì)此類攻擊進(jìn)行防范，客戶端本身應(yīng)對(duì)陌生人給出的超級(jí)鏈接保持警惕，特別是對(duì)比較長(zhǎng)的超鏈接更要小心。每次登錄網(wǎng)站后應(yīng)該及時(shí)利用網(wǎng)站的退出功能退出和清除本機(jī)的cookies。另外登錄密碼的設(shè)置不要過于簡(jiǎn)單，盡量使用字母與數(shù)字組合，密碼長(zhǎng)度應(yīng)該在8位以上。網(wǎng)站管理員在開發(fā)網(wǎng)站時(shí)要注意檢查網(wǎng)站的xss漏洞，要注意session有效期的設(shè)置，一般不要把有效期設(shè)置太長(zhǎng)，這樣即使真的被攻擊也能讓其非法活動(dòng)時(shí)間大大縮短。2.6.2直接對(duì)服務(wù)器端的欺騙攻擊 攻擊原理與客戶端欺騙不同，此類攻擊是對(duì)服務(wù)器端的直接欺騙。網(wǎng)站開發(fā)者在管理員管理頁(yè)面通常都會(huì)有session驗(yàn)證，目的是為了驗(yàn)證當(dāng)前登錄者是否為合法用戶。但如果攻擊者能夠在登錄管理頁(yè)面前，使用某種手段使得session（”admin”）被賦值（不一定是網(wǎng)站開發(fā)者所賦予的值）則驗(yàn)證代碼則無法攔截此類非法登錄。從而達(dá)到了直接欺騙服務(wù)器而以管理員身份直接登錄的目的。當(dāng)前利用此原理進(jìn)行攻擊的常用手法是都是在取得了某網(wǎng)站域名下的某個(gè)webshell進(jìn)行的。如許多免費(fèi)空間網(wǎng)站都會(huì)在主域名下允許用戶有自己的二級(jí)域名，而此域名的目錄又和網(wǎng)站主目錄在同一站點(diǎn)下，這樣就為欺騙攻擊提供了條件。而其它一些網(wǎng)站由于自身的xss等漏洞，使得用戶拿下某個(gè)webshell，從而也使欺騙攻擊成為了可能。在具備了欺騙必備條件后，攻擊者還必須知道session驗(yàn)證的源碼，從而才能編寫惡意代碼繞過系統(tǒng)原有的驗(yàn)證。當(dāng)然，如果驗(yàn)證源碼是上文所列的情況，則攻擊者只需知道session所用變量即可，因?yàn)槠洳]有給出具體的賦值，只是簡(jiǎn)單的驗(yàn)證是否為空。攻擊者只要賦任意值即可通過此驗(yàn)證。 防范措施此類攻擊手法也相當(dāng)隱蔽，危害極大。因?yàn)楣粢坏┏晒?，則攻擊者即可以管理員身份非法登錄。從此類欺騙攻擊的原理我們知道，此攻擊要成功必須具備多個(gè)先決條件：獲得該域名下的一個(gè)webshell或者攻擊網(wǎng)站與被欺騙網(wǎng)站在同一主站的同一目錄下；被攻擊主站采取了session驗(yàn)證管理頁(yè)面；獲得被攻擊站點(diǎn)的session驗(yàn)證源碼；知道被攻擊主站的管理頁(yè)面地址。所以我們要防范此類攻擊，就只能從幾個(gè)限制條件考慮。網(wǎng)站開發(fā)者應(yīng)該盡量避免各種漏洞，站點(diǎn)在使用前應(yīng)該經(jīng)過周密而詳盡的測(cè)試，從而降低被發(fā)現(xiàn)漏洞的可能。對(duì)于網(wǎng)站源碼不能輕易泄露，特別是在公開場(chǎng)合。如果是使用公開源碼假設(shè)的網(wǎng)站，更要把源碼關(guān)鍵部位更改。本攻擊欺騙的關(guān)鍵源碼部位即session驗(yàn)證源碼。2.6.3 Session漏洞檢測(cè)方法（1）Session互竄Session互竄即是用戶A的操作被用戶B執(zhí)行了。驗(yàn)證Session互竄，其原理還是基于權(quán)限控制，如某筆訂單只能是A進(jìn)行操作，或者只能是A才能看到的頁(yè)面，但是B的session竄進(jìn)來卻能夠獲得A的訂單詳情等。Session互竄方法：多TAB瀏覽器，在兩個(gè)TAB頁(yè)中都保留的是用戶A的session記錄，然后在其中一個(gè)TAB頁(yè)執(zhí)行退出操作，登陸用戶B，此時(shí)兩個(gè)TAB頁(yè)都是B的session，然后在另一個(gè)A的頁(yè)面執(zhí)行操作，查看是否能成功。預(yù)期結(jié)果：有權(quán)限控制的操作，B不能執(zhí)行A頁(yè)面的操作，應(yīng)該報(bào)錯(cuò)，沒有權(quán)限控制的操作，B執(zhí)行了A頁(yè)面操作后，數(shù)據(jù)記錄是B的而不是A的。（2）Session超時(shí)基于Session原理，需要驗(yàn)證系統(tǒng)session是否有超時(shí)機(jī)制，還需要驗(yàn)證session超時(shí)后功能是否還能繼續(xù)走下去。測(cè)試方法：1、打開一個(gè)頁(yè)面，等著10分鐘session超時(shí)時(shí)間到了，然后對(duì)頁(yè)面進(jìn)行操作，查看效果。2、多TAB瀏覽器，在兩個(gè)TAB頁(yè)中都保留的是用戶A的session記錄，然后在其中一個(gè)TAB頁(yè)執(zhí)行退出操作，馬上在另外一個(gè)頁(yè)面進(jìn)行要驗(yàn)證的操作，查看是能繼續(xù)到下一步還是到登錄頁(yè)面。Session 測(cè)試主要檢查Web 應(yīng)用系統(tǒng)是否有超時(shí)的限制，也就是檢查用戶登錄后在一定時(shí)間內(nèi)沒有點(diǎn)擊任何頁(yè)面，是否需要重新登錄才能正常使用，檢查超時(shí)后能否自動(dòng)退出，退出之后，瀏覽器回退按鈕是否可以回到登錄頁(yè)面。Session 測(cè)試一般使用手工測(cè)試和工具測(cè)試相結(jié)合的方法，若發(fā)現(xiàn)問題，應(yīng)及時(shí)修改代碼。2.7 跨網(wǎng)站腳本(XSS)漏洞測(cè)試2.7.1 跨網(wǎng)站腳本（XSS）漏洞實(shí)現(xiàn)原理跨站腳本漏洞（Cross Site Scripting，常簡(jiǎn)寫作XSS）是Web應(yīng)用程序在將數(shù)據(jù)輸出到網(wǎng)頁(yè)的時(shí)候存在問題，導(dǎo)致攻擊者可以將構(gòu)造的惡意數(shù)據(jù)顯示在頁(yè)面的漏洞。因?yàn)榭缯灸_本攻擊都是向網(wǎng)頁(yè)內(nèi)容中寫入一段惡意的腳本或者HTML代碼，故跨站腳本漏洞也被叫做HTML注入漏洞（HTML Injection）。與SQL注入攻擊數(shù)據(jù)庫(kù)服務(wù)器的方式不同，跨站腳本漏洞是在客戶端發(fā)動(dòng)造成攻擊，也就是說，利用跨站腳本漏洞注入的惡意代碼是在用戶電腦上的瀏覽器中運(yùn)行的。2.7.2 跨網(wǎng)站腳本（XSS）漏洞防范措施下列規(guī)則旨在防止所有發(fā)生在應(yīng)用程序的XSS攻擊，雖然這些規(guī)則不允許任意向HTML文檔放入不可信數(shù)據(jù)，不過基本上也涵蓋了絕大多數(shù)常見的情況。你不需要采用所有規(guī)則，很多企業(yè)可能會(huì)發(fā)現(xiàn)第一條和第二條就已經(jīng)足以滿足需求了。請(qǐng)根據(jù)自己的需求選擇規(guī)則。（1） 不要在允許位置插入不可信數(shù)據(jù)第一條規(guī)則就是拒絕所有數(shù)據(jù)，不要將不可信數(shù)據(jù)放入HTML文檔，除非是下列定義的插槽。這樣做的理由是在理列有解碼規(guī)則的HTML中有很多奇怪的context，讓事情變得很復(fù)雜，因此沒有理由將不可信數(shù)據(jù)放在這些context中。（2） 在向HTML元素內(nèi)容插入不可信數(shù)據(jù)前對(duì)HTML解碼這條規(guī)則適用于當(dāng)你想把不可信數(shù)據(jù)直接插入HTML正文某處時(shí)，這包括內(nèi)部正常標(biāo)簽(div、p、b、td等)。大多數(shù)網(wǎng)站框架都有HTML解碼的方法且能夠躲開下列字符。但是，這對(duì)于其他HTML context是遠(yuǎn)遠(yuǎn)不夠的，你需要部署其他規(guī)則。（3） 在向HTML常見屬性插入不可信數(shù)據(jù)前進(jìn)行屬性解碼這條規(guī)則是將不可信數(shù)據(jù)轉(zhuǎn)化為典型屬性值(如寬度、名稱、值等)，這不能用于復(fù)雜屬性(如href、src、style或者其他事件處理程序)。這是及其重要的規(guī)則，事件處理器屬性(為HTML JavaScript Data Values)必須遵守該規(guī)則。2.7.3 跨網(wǎng)站腳本（XSS）漏洞測(cè)試方法對(duì)于呈增長(zhǎng)趨勢(shì)的跨站腳本（XSS）攻擊，可使用內(nèi)嵌檢測(cè)的方式進(jìn)行處理。使用WebInspect 工具識(shí)別所有的假造參數(shù)，使用DevInspect 工具通過特定代碼關(guān)聯(lián)在頁(yè)面上發(fā)現(xiàn)安全缺陷，對(duì)于顯示代碼，采用CSE HTML Validator工具進(jìn)行測(cè)試。若在檢測(cè)中發(fā)現(xiàn)系統(tǒng)存在跨站腳本(X SS)漏洞，使用輸出數(shù)據(jù)編碼也就是將任何數(shù)據(jù)返回給用戶前均采用HTML 編碼，可以有效防止跨站點(diǎn)腳本攻擊。因?yàn)橥ㄟ^HTML 編碼，可將大多數(shù)腳本命令自動(dòng)轉(zhuǎn)換為無害文本。2.8 命令注射漏洞測(cè)試命令注射漏洞測(cè)試主要檢查所有調(diào)用外部資源(例如system、exec、fork，或者所有的發(fā)出請(qǐng)求的語(yǔ)法的源代碼，查找那些來自于HTTP 請(qǐng)求的輸入可能發(fā)起調(diào)用的所有地方。使用相同功能的專門的庫(kù)函數(shù)來代替shell 命令和一些系統(tǒng)調(diào)用，可以抵御命令注射的攻擊，另外一種避免命令注射的保護(hù)措施就是確保Web 應(yīng)用程序只是根據(jù)它所要執(zhí)行某個(gè)功能時(shí)所需的最小權(quán)限來實(shí)現(xiàn)這個(gè)功能。如果必須使用外部命令的話，任何被插入命令的用戶信息必須仔細(xì)地審查，設(shè)立一定的機(jī)制來處理可能出現(xiàn)的錯(cuò)誤、超時(shí)、或者在調(diào)用過程中出現(xiàn)的阻塞。2.9 日志文件測(cè)試日志文件測(cè)試主要檢查Web 運(yùn)行的相關(guān)信息是否寫進(jìn)了日志文件、是否可追蹤，是否記錄了系統(tǒng)運(yùn)行中發(fā)生的所有錯(cuò)誤，是否記錄了用戶的詳細(xì)信息，包括用戶的瀏覽器、用戶停留的時(shí)間、用戶IP 等。記錄了用戶的IP，就能通過追捕查出用戶的具體地點(diǎn)。錯(cuò)誤作為日志保留下來，可供技術(shù)人員分析錯(cuò)誤是由系統(tǒng)實(shí)現(xiàn)漏洞引起的還是由于黑客攻擊引起的。2.10 訪問控制策略測(cè)試訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，而訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略包括入網(wǎng)訪問控制策略、