一個(gè)完整的Web安全體系測(cè)試可以從部署與基礎(chǔ)結(jié)構(gòu),輸入驗(yàn)證,,身份驗(yàn)證,,授權(quán),配置管理,,敏感數(shù)據(jù),,會(huì)話管理,加密,,參數(shù)操作,,異常管理,審核和日志記錄等幾個(gè)方面入手.
數(shù)據(jù)加密: 某些數(shù)據(jù)需要進(jìn)行信息加密和過濾后才能進(jìn)行數(shù)據(jù)傳輸,,例如用戶信用卡信 息,、用戶登陸密碼信息等。
此時(shí)需要進(jìn)行相應(yīng)的其他操作,,如存儲(chǔ)到數(shù)據(jù)庫(kù),、解密發(fā)送要用戶電子郵箱或者客戶瀏覽器。
目前的加密算法越來越多,,越來越復(fù)雜,,但一般數(shù)據(jù)加密的過程時(shí)可逆的,也就是說能進(jìn)行加密,,同時(shí)需要能進(jìn)行解密,!
登錄: 一般的應(yīng)用站點(diǎn)都會(huì)使用登錄或者注冊(cè)后使用的方式,因此,,必須對(duì)用戶名 和匹配的密碼進(jìn)行校驗(yàn),,以阻止非法用戶登錄。
在進(jìn)行登陸測(cè)試的時(shí)候,,需要考慮輸入的密碼是否對(duì)大小寫敏感,、是否有長(zhǎng)度和條件限制,,最多可以嘗試多少次登錄,
哪些頁(yè)面或者文件需要登錄后才能訪問/下載等,。超時(shí)限制:WEB應(yīng)用系統(tǒng)需要有是否超時(shí)的限制,,
當(dāng)用戶長(zhǎng)時(shí)間不作任何操作的時(shí)候, 需要重新登錄才能使用其功能,。
SSL: 越來越多的站點(diǎn)使用SSL安全協(xié)議進(jìn)行傳送,。SSL是Security Socket Lauer(安全套接字協(xié)議層)的縮寫,
是由Netscape首先發(fā)表的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸協(xié)議,。SSL是利用公開密鑰/私有密鑰的加密技術(shù),。
(RSA),在位于HTTP層和TCP層之間,,建立用戶與服務(wù)器之間的加密通信,,確保所傳遞信息的安全性。
SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的,,任何用戶都可以獲得公共密鑰來加密數(shù)據(jù),,
但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。
進(jìn)入一個(gè)SSL站點(diǎn)后,,可以看到瀏覽器出現(xiàn)警告信息,,然后地址欄的http變成https,
在做SSL測(cè)試的時(shí)候,,需要確認(rèn)這些特點(diǎn),,以及是否有時(shí)間鏈接限制等一系列相關(guān)的安全保護(hù)。
服務(wù)器腳本語(yǔ)言:腳本語(yǔ)言是常見的安全隱患,。每種語(yǔ)言的細(xì)節(jié)有所不同,。有些 腳本允許訪問根目錄。其他只允許訪問郵件服務(wù)器,,
但是經(jīng)驗(yàn)豐富的黑客可以將服務(wù)器用戶名和口令發(fā)送給他們自己,。找出站點(diǎn)使用了哪些腳本語(yǔ)言,并研究該語(yǔ)言的缺陷,。
還要需要測(cè)試沒有經(jīng)過授權(quán),,就不能在服務(wù)器端放置和編輯腳本的問題。
最好的辦法是訂閱一個(gè)討論站點(diǎn)使用的腳本語(yǔ)言安全性的新聞組,。
注:黑客利用腳本允許訪問根目錄的這個(gè)安全隱患特性攻擊網(wǎng)站,。
這個(gè)網(wǎng)站包含了腳本代碼(有允許訪問根目錄的特性)就可能有這個(gè)安全隱患。
日志文件: 在服務(wù)器上,,要驗(yàn)證服務(wù)器的日志是否正常工作,,
例如CPU的占用率是否很高,是否有例外的進(jìn)程占用,,所有的事務(wù)處理是否被記錄等,。
目錄: WEB的目錄安全是不容忽視的一個(gè)因素,。
如果WEB程序或WEB服務(wù)器的處理不適當(dāng),通過簡(jiǎn)單的URL替換和推測(cè),,會(huì)將整個(gè)WEB目錄完全暴露給用戶,,
這樣會(huì)造成很大的風(fēng)險(xiǎn)和安全性隱患。
我們可以使用一定的解決方式,,如在每個(gè)目錄訪問時(shí)有index.htm,或者嚴(yán)格設(shè)定WEB服務(wù)器的目錄訪問權(quán)限,,
將這種隱患降低到最小程度。
注:每個(gè)目錄訪問時(shí)有index.htm
目的: 通過首頁(yè)中的登陸驗(yàn)證功能進(jìn)行訪問權(quán)限控制,。
