惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
The Last Watchdog
The Last Watchdog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
T
Troy Hunt's Blog
L
LINUX DO - 最新话题
C
Check Point Blog
T
Threat Research - Cisco Blogs
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
罗磊的独立博客
V
Vulnerabilities – Threatpost
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
J
Java Code Geeks
Apple Machine Learning Research
Apple Machine Learning Research
大猫的无限游戏
大猫的无限游戏
S
Security @ Cisco Blogs
IT之家
IT之家
T
The Exploit Database - CXSecurity.com
The GitHub Blog
The GitHub Blog
D
Docker
Engineering at Meta
Engineering at Meta
AWS News Blog
AWS News Blog
S
Security Affairs
U
Unit 42
P
Palo Alto Networks Blog
V
Visual Studio Blog
Y
Y Combinator Blog
D
DataBreaches.Net
Forbes - Security
Forbes - Security
阮一峰的网络日志
阮一峰的网络日志
美团技术团队
Security Latest
Security Latest
aimingoo的专栏
aimingoo的专栏
Simon Willison's Weblog
Simon Willison's Weblog
A
Arctic Wolf
博客园_首页
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
H
Hacker News: Front Page
博客园 - 司徒正美
博客园 - Franky
宝玉的分享
宝玉的分享
TaoSecurity Blog
TaoSecurity Blog
Latest news
Latest news
Scott Helme
Scott Helme
MongoDB | Blog
MongoDB | Blog
量子位
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
C
Cisco Blogs
P
Privacy International News Feed
Application and Cybersecurity Blog
Application and Cybersecurity Blog

博客园 - 台风

让员工学会学习 - 台风 - 博客园 我们需要个性突出的员工吗? 为什么不提供离线Blog管理工具呢? 收集积累员工的技能数据和项目经验数据很重要 Web程序中要注意的安全问题 - 台风 - 博客园 规则表达式(笔记) - 台风 - 博客园 项目管理中的组织结构 Migration项目总结 Auditor and Audit Stakeholder Anaylysis 项目的沟通管理 风险的应对策略 项目管理技能 维护项目阶段总结 Six sigma tools 持续过程改进 - 公司过程能力持续提高的保证 对PMR, PM and audit的一些想法 Variables Control Charts (计量值控制图) Attribute Control Charts(计数值控制图)
如何对Web Application进行安全性评估
台风 · 2005-08-28 · via 博客园 - 台风
 

如何对Web Application进行安全性评估呢?简单点说就是利用合适的工具,模拟网络用户对Web Application(包括Web Server)进行攻击,对一些潜在的安全弱点进行测试,找出Web ApplicationWeaknesses,根据严重程度进行评估。

具体进行Web Application的测试时要全面系统。下面的一些步骤可以用来发现被评估程序的安全漏洞和弱点。

1.  程序探索 分析程序的技术,架构和功能

a.       标注操作系统,Web服务器版本好,和其它应用程序相关技术

b.       使用专业工具进行自动服务器扫描,标注已知的安全漏洞

c.       标注程序管理功能,比如程序中的隐藏页面

d.       标注程序中所有已知的URLs,建立站点测试地图

e.       标注操作系统中Web根路径

f.        标注并且用文档记录各个级别用户能使用的所有程序功能

g.       确定SSL的配置和允许的加密密码

2.  原代码详审

a.       如果可能在本地建立原代码环境

b.       找出程序中不需要的注释和其它信息,有可能给攻击者提供一些程序或攻击目标的信息。

c.       找出不需要的外部链接,可能会把攻击者引到某些攻击路径

d.       确定动态页面是否生成一些这样的代码,攻击者可以通过已知的漏洞利用这些代码来访问

e.       了解URLs,确定输入字段中要传输的数据

f.        找出程序页面中的隐藏标签,确定它们是否能被利用来传输不希望的数据到服务器

3.  输入验证

a.       确定服务器端流程处理程序是否由通过的特定meta字符组成

b.       查找服务器端程序可能的缓冲溢出条件

c.       测试错误输出信息是否提供站点设计信息(如目录名,SQL语句等)

d.       确定是否HEXUnicode值能被替换为ASCII字符来获取服务器端程序的安全

e.       确定“Server-side includes”是否能被用来在目标系统上执行任意命令

f.        修改隐藏标签和cookies,确定是否服务器端程序正确地验证这些数据

g.       试着在程序页面中插入客户端脚步代码,如JavaScript

h.       试着通过服务器端程序执行后端数据库SQL调用

i.         在所以的输入字段测试SQL注入攻击

j.         在所以的输入字段测试通过数据插入执行人员命令

4.  会话管理 使用会话管理中公开的漏洞,测试在程序中模拟其它用户

a.       验证会话管理中用户会话状态的维护

b.       验证会话ID被加密了,没有被增加,被预见,或者能被利用来攻击

c.       分析会话超时,看会话ID是否正确过期

d.       强力攻击login页面,或者会话ID,试图获得一个有效用户来访问。

e.       如果会话ID是通过cookie来传递的,确保会话ID在客户端没有被持久化

f.        禁止客户端cookie支持,观察是否任何会话数据通过URL被传递

在每个测试阶段,测试者都需要测试两个攻击场景:未认证用户和认证用户。认证用户能执行任何未认证用户能执行的功能,并且根据用户权限还可以