安全测试用例
常见的安全测试应该能够做到check以下内容
- 测试用例应该 包含每个HTTP参数的SQL注入测试
- 测试用例应该 包含每个HTTP参数的XSS测试
- 测试用例应该 检测到文件包含(File Inclusion,使用HTTP参数传递文件路径或文件名)直接判定为不通过
- 测试用例应该 包含不同角色交换链接的权限测试,链接为对方无权访问的链接
- 测试用例应该 包含上传网页木马的测试,如WEB应用提供上传功能(头像图片,文件等)
- 测试用例应该 包含检测可能导致信息泄漏的冗余备份文件,包括zip/tar/tar.gz等
- 客户端软件发布前应该检测数字签名
网络安全测试操作指导及测试用例
Web安全高危漏洞测试
- 准备工作
- SQL注入测试
- XSS测试
- 文件上传测试
- 重要Form的CSRF测试
- Path Manipulation测试
- File Include漏洞
- 业务逻辑缺陷
- 跨角色授权测试
- Live HTTP headers用法
- Paros用法
漏洞和方法比较多,现列出来以下几项常见的安全类型和
注入
-
SQL注入- Boolean-based blind 基于布尔值 的盲注
- Time-based blind 基于时间 的盲注
- Error-based 基于报错注入
- UNION query-based 联合查询注入
-
Stacked queries 堆查询注入
ps: 以上几种注入是sqlmap可完成的注入类型
-
框架注入
- 如iframe框架注入
-
链接注入
- 在跳转链接中注入
命令注入(常见PHP,难度较高暂时忽略)
XSS
- 普通反射型
- 存储型
- 基于DOM
- 基于Flash
URL跳转漏洞
- 信息泄露、上传漏洞、代码执行
- CSRF
Sqlmap简介
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,具有强大的检测引擎。完全支持MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB and Informix
利用此工具,利用tornado WEB框架,开发了一个前端页面
项目地址:http://gitlab.xxx.cn/testing/security
部署地址:http://10.10.10.24:8080/urlfile
环境:ssh root@10.10.10.24 密码:xxxxxx
路径在:/usr/local/SecurityCheck/Sqlcheck
执行命令(前端上传文件时,也会执行此命令)
python /usr/local/SecurityCheck/Sqlcheck/sqlmap-dev/sqlmap.py -u "https://agent-xxx-ssl.xxxx.com/test/orderInfo?key=xxx&id=21112170800068207" --batch -v 0 --dbms "MYSQL" --output-dir /usr/local/SecurityCheck/Sqlcheck/output
命令简介
-u 被检测url要带上“”号
--batch 防止多次询问数据库
-v 0 level0,只展示0级别的提示
--dbms 指定数据库类型,如果不指定,则全部数据库会尝试一遍,带上“”号
--output-dir 指定检测结果存放目录,如果未指定则会存放到用户所在目录下的.sqlmap/output目录下,如linux为/root/.sqlmap/output,mac上为/Users/xxx/.sqlmap/output
检测工具原理
-1. 导入待检测的txt文档,点击提交
-2. 程序会在8080端口监听事件,将上传的文件读取重新写入到当前目录SecurityCheck/Sqlcheck下
-3. 执行python内置命令行命令,利用sqlmap对文件中的url提取进行扫描
-4. SQLMAP注入成功,在output输出一个文件夹,文件夹名是被检测的域名,文件夹中其中有3个文件
* log
* session.sqlite
* target.txt
未发现注入时,log文件为空,不会写入;
发现有注入漏洞时,向log文件中输出的详细注入类型
范例如下:
sqlmap identified the following injection point(s) with a total of 58 HTTP(s) requests:
Parameter: uid (GET) Type: boolean-based blind Title: MySQL >= 5.0 boolean-based blind - Parameter replace Payload: uid=(SELECT (CASE WHEN (8841=8841) THEN 8841 ELSE 8841*(SELECT 8841 FROM INFORMATION_SCHEMA.PLUGINS) END))
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind
Payload: uid=100 AND SLEEP(5)
web application technology: Apache 2.4.16, PHP 5.5.30 back-end DBMS: MySQL >= 5.0
-5. 程序根据sqlmap扫描结果输出文件log的MD5值来作出判断,如果md5值有变化,则认为扫描结果存在SQL注入
-6. 最终输出json结果
{"data": [{"url": "http://xxx.xxxx.com/vpay/qrcode?version=v1.0&sessionid=E356BFDB84422F76AA212D3245BFAEC078A833BE8F25B74A22DFBB541DE9B0D8F2D3B0F6FFD2AD85EA5601812A2A0F39D3D1CC5DB68175B6F5E8DA9344FCDF46&userid=2561118948&opid=web&activeid=001&bizno=jo&num=5&rmb=1&ext2=x&ext3=y&mref=1&referfrom=1&aidfrom=1&_v=1476424488", "domain": "xxx.xxxx.com", "code": 0},"rtn_code": 0}
rtn_code:0本次检测结果,安全
rtn_code:1本次检测结果,存在注入漏洞
code:0此url,安全
code:1些url,存在注入漏洞的url
待解决的问题
- 处理等待超时的问题,sqlmap不会有超时,会一直等待,此时要主动停止等待的url的单次任务
- 处理字段为空的情况,应该要加上--union-char
- 单线程
- 浏览器打印出来的json,®被转成了®
