軟件測試2019：第五次做業

1、回答下述問題：

1. 闡述常見的Web安全測試有幾種類型？

須要考慮的情形：

（1）數據加密。某些數據須要進行信息加密和過濾後才能在客戶端和服務器之間進行傳輸，包括用戶登陸密碼、信用卡信息等。例如，在登陸某銀行網站時，該網站必須支持SSL協議，經過瀏覽器訪問該網站時，地址欄的http變成https，創建https鏈接。這至關於在HTTR陽 TCP之間增長了一層加密——SSL協議。SSL是利用公開密鑰/私有密鑰的加密技術（RSA)，創建用戶與服務器之間的加密通訊，確保所傳遞信息的安全性。數據加密的安全性還包括加密的算法、密鑰的安全性。

（2）登陸或身份驗證。通常的應用站點都會使用登陸或者註冊後使用的方式，所以，必須對用戶名和匹配的密碼進行校驗，以阻止非法用戶登陸。在進行登陸測試的時候，須要考慮輸人的密碼是否大小寫敏感、是否有長度和條件限制，最多能夠嘗試多少次登陸，哪些頁面或者件須要登陸後才能訪問/下載等。身份驗證還包括調用者身份、數據庫的身份、用戶受權等，並區分公共訪問和受限訪問，受限訪問的資源。

（3)輸人驗證。Web頁面有不少表單提交，實際每一個輸入域均可能是一個潛在的風險，黑客能夠利用文字輸入框，將攻擊性的腳本輸人進去，提交給服務器處理，來攻擊服務器、有時，也能夠在輸人域提交一些危害性的腳本，提交上去，隱含到某個頁面上，如某個文件的下載鏈當另一個用戶單擊連接時，就能夠調用相應的腳原本讀取該用戶硬盤的數據或用戶名/口令，發送出去，相似於木馬病毒。因此，在進行Web安全性測試時，每一個輸人域都須要用標的機制驗證，長度、數據類型等符合設定要求，不容許輸人JavaScript代碼，包括驗證從數據中檢索的數據、傳遞到組件或Web服務的參數等。

（4)SQL注入。從客戶端提交特殊的代碼，從而收集程序及服務器的信息，從而獲取必要的數據庫信息，而後基於這些信息，能夠注人某些參數，繞過程序的保護，針對數據庫服務器進行攻擊。例如，在原有URL地址後面加一個恆成立的條件(如or 1=1或or user>0)，這樣、能夠繞過系統的保護，對數據庫進行操做。

（5)超時限制。Web應用系統通常會設定「超時」限制，當用戶長時間（如15min)不作任何操做時，須要從新登陸才能打開其餘頁面。會話（Session)的安全性還包括交換會話標識符、會話存儲狀態等的安全性。

（6)目錄。Web的目錄安全也是不容忽視的，若是Web程序或Web服務器的處理不適當，能夠經過簡單的URL替換和推測，使整個Web目錄暴露出來，帶來嚴重的安全隱患。能夠採用某些方法將這種隱患下降到最小程度，如每一個目錄下都存在index.htm，以及嚴格設定Web服務器的目錄訪問權限。

（7)操做留痕。爲了保證Web應用系統的安全性，日誌文件是相當重要的，須要測試相關信息是否寫進人了日誌文件，是否可追蹤。

經常使用類型：

跨站點攻擊（Xcross-site Scripting，XSS）可讓攻擊者在頁面訪問者的瀏覽器中執行JavaScript腳本，從而能夠得到用戶會話的安全信息、插入惡意的信息或者植入病毒等。按照注入的途徑，通常分爲三種

1.反射跨站點攻擊（Reflected XSS）

服務器端獲取http請求中的參數，未經安全檢查或者從新編碼過濾直接輸出到客戶端。若是這些參數是腳本，它將在客戶端執行。

2.存儲跨站點攻擊（Stored XSS）

用戶輸入的數據存在服務器端（通常存在數據庫中），其餘用戶訪問某個頁面時，這些數據未通過濾直接輸出。這些數據多是惡意的腳本，對其餘用戶形成危害。

3.基於DOM文檔對象模型跨站點攻擊(DOM-Based XSS)

攻擊者構造一個包含惡意Javascript的URL，而後引誘用戶請求這個URL。服務器收到請求後返回惡意的Javascript。

 

2、安全測試工具調研

1. 概述

列出常見的安全測試工具，表以下：

序號	安全測試工具	商用 OR 免費	檢測對象（二進制代碼/源代碼）	簡介
1	Metasploit	開源免費	源代碼	可以驗證絕大多數的安全漏洞，還能夠進行實際的入侵工做
2	Nessus	我的用戶免費、 商業用戶收費	源代碼	對本機或者其餘可訪問的服務器進行漏洞掃描
3	W3AF	免費	源代碼	web應用安全的攻擊、審計平臺
4	Paros proxy	免費	源代碼	基於Java的web代理程序，對web程序漏洞進行評估
5	WebScarab	免費	源代碼	用簡單的形式記錄它觀察到的會話，容許操做員觀察會話
6	Nikto	免費	源代碼	能夠對web服務器多種項目進行全面測試
7	Wapiti	免費	源代碼	直接對網頁進行掃描，用於Web應用程序漏洞掃描和安全檢測

 

選擇一個開源的安全測試工具，開展試用，寫一個試用報告。報告內容 安全測試工具試用

1）記錄完整的測試過程（工具安裝、環境設置、測試過程、結果分析），包括腳本文件；
2） 提交安全測試報告，描述所作的測試、遇到的問題、結果分析等，要包括主要的測試運行截圖。

1.安裝Metasploit

 

 須要關閉反病毒軟件和防火牆

安裝過程文件釋放速度比較慢，硬盤負載比較高，運行前的準備時間較長。