如何从0到1做一次完整的安全测试

大家好,我是馨馨紫,一个混过大厂,待过创业公司,有着6年工作经验的软件测试妹纸一枚。近期针对公司项目做了一次完整的安全测试,扫描出来了不少漏洞,价值还挺大的。回顾整个流程,并没有特别复杂的点,这里程序员还挺多,想着分享下我的实战感悟,希望对做项目的技术人员有所启发。

image

一、为什么要做安全测试

一)背景概述

随着互联网应用的普及,软件安全性越来越重要了。公司的产品在线上有些小的功能性Bug,可能就是体验性不好,引发用户的一些吐槽,损失一点用户,问题不大,可以不断改进。

但是如果产品有高危漏洞,不小心被黑客袭击,导致服务器瘫痪或资金损失,重要数据泄露和丢失,或者服务器资源被黑客恶意利用,导致公司业务无法正常运转或损失惨重,后果将不堪设想。

二)原因剖析

大家可以稍微留意下,规模稍微大点的公司,一般会有专门的安全测试团队或者请乙方安全公司来进行安全测试。实际上,安全团队也是利用安全扫描工具进行扫描,扫描出来的漏洞大多是常见的SQL注入,跨站点请求伪造CSRF,跨站点脚本攻击XSS等等。

想着工具的学习成本也不高,于是在领导的号召下,在公司内部开启了一轮从0到1的安全测试。

二、安全测试的详细方法

一)测试工具

AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

简单理解,就是AppScan工具先抓取出所有的接口,接着利用自身的安全用例库,对接口传各种参数,验证接口是否有安全漏洞。

二)测试步骤

基本思路:自动探索--特殊配置--手动探索---仅测试--导出报告。

以测试一个Web应用为例,介绍一次完整的安全测试流程。

1、打开AppScan,文件--新建--扫描Web应用程序

image

2、填写起始URL地址

这里有个坑:填写登录页面的地址,最好是未登录之前,因为有的页面没有做重定向处理,后续测试的时候会一直提示登录。

比如登录页面的地址是https://XXX/Login,最好别填登录进去后的某个地址例如:https://XXX/Login/index

image

3、填写登录管理信息

登录系统的方式,有三个选项:

1)记录:点击“记录”按钮,进行录制登录操作。操作类似于用LR做脚本录制,适用于没有验证码的场景

2)自动:输入用户名和密码,扫描时会自动根据这个凭证登录应用程序,推荐没有验证码时,使用该场景

3)提示:根据扫描地址,每次需要登录时会弹出相应登录页面,如遇后台登录有验证码时推荐使用此场景

记录和自动的差别不大,都是适用于没有验证码的场景,而且都只需要输入一次用户名和密码,不同之处在于 「记录 」是在浏览器登录页面输入密码,「自动 」是直接在AppScan的页面输入密码。

image

4、测试策略

在实际测试过程中,要完整的测试就选****「****完成****」****策略,一般情况下选****「缺省值」策略。

简单介绍下7种测试策略:

1)缺省值:包含多有测试,但不包含侵入式和端口侦听器

2)仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器

3)仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器

4)侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)

5)完成:包含所有的AppScan测试

6)关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用

7)开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用

image

5、测试优化

默认即可

image

6、完成

实际测试项目中一般先选择自动“探索”启动,因为还需要设置后面的排除链接,有些接口是不适合做大量测试的,例如一些外部接口,对接的外部项目的线上接口,如果进行测试后,会产生大量的线上脏数据。

有四个选项:

1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面,也就是边扫描边测试

2)仅使用自动“探索”启动:自动探索URL,不做扫描,只是探索出所有的接口,不对接口进行任何操作

3)使用“手动探索”:手动去访问页面,AppScan会自动记录你访问页面的url

4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描

image

7、保存文件

image

8、进行第一遍的探索结果

image

9、操作系统参数设置

根据被测系统,在配置--扫描配置--环境定义,修改操作系统相关参数

image
image

10、屏蔽设置

根据被测系统,在配置--扫描配置--环境定义,可排除不需要测试的接口。

在扫描过程中,有些需要排除的接口,例如登出接口,与外部项目对接产生大量生成脏数据的接口等等,可以设置进行排除。

image

11、线程设置

在测试过程中,应用服务出现性能过慢的问题,可在配置--扫描配置--通信和代理中,适当调整线程数为2~5。

image

12、浏览器设置

在扫描过程中AppScan自带浏览器如果出现兼容问题,可配置外部服务器,配置如图:

image

13、进行手动探索

自动探索会出现探索不完整的情况,用手动探索来完善,手动探索,也就是把页面的所有功能都手动点一遍,目的是抓取出所有的接口。

image

14、添加手动探索出的接口

image

15、进行测试,也就是把刚刚手动探索出的接口,进行测试

image

16、待扫描完成后,导出报告

注意参数的设置,实际项目中,参数设置如下图所示

image

17、二轮测试

在之前scan测试文件的基础上,追加手动探索,扩大扫描范围,然后选择仅测试,就只会测试新扫描出来的接口,最后保存文件,导出报告即可。

三、分析测试结果复现漏洞

报告会显示很多漏洞,等级分为高,中,低,但是有些漏洞是无法重现的,所以需要人工分析,手动复现。

注意:不要轻易点击重新测试,有些问题重新测试之后就没了,这应该是工具问题,实际项目中遇到好多次了,可以先保存一份文件,再复制一份同样的文件出来重新测试。

image

一)常见的漏洞概述

1、SQL注入

1)定义

SQL注入是一种比较常见的高等级漏洞,简单理解,SQL注入就是没有过滤从页面传至接口的字符,攻击者通过将恶意的SQL查询插入到输入参数中,在后台服务器上解析进行执行,最终导致数据库信息被篡改或泄露。

2)风险分析

SQL注入可能导致数据库中存储的用户隐私信息泄露,可通过操作数据库对特定网页进行篡改。修改数据库一些字段的值,嵌入木马链接,进行挂马攻击,甚至数据库的系统管理员帐户被篡改。

3)修复方式

A、程序代码里的所有查询语句,使用标准化的数据库查询语句API接口,设定语句的参数进行过滤一些非法的字符,防止用户输入恶意的字符传入到数据库中执行sql语句

B、对用户提交的的参数安全过滤,像一些特殊的字符(,()*&……%#等等)进行字符转义操作,以及编码的安全转换

2、跨站点请求伪造csrf

1)定义

csrf( Cross-site request forgery****):跨站请求伪造,简单说,攻击者盗用了你的身份(借用你的token),以你的名义发送恶意请求,而你却不知情。

恶意攻击者往Web页面里插入恶意的HTML代码,当用户浏览该页之时,嵌入其中Web里面的HTML代码会被执行,从而达到恶意目的。

举个例子:攻击者写了一段删除某个财务系统数据的代码,放在任意一个广告页面的链接上。当其他用户浏览广告页面时,只要有用户例如Emily登录了财务系统,点击了该链接,就会在用户Emily无意识的情况下,以Emily的名义删除了财务系统的很多数据,达到了恶意攻击的目的。

实际的场景:攻击者盗用账号转钱,添加管理员,购买商品,发送邮件等等。

2)风险分析

攻击者可以对系统进行任何增删改查的操作,严重损害了系统的安全性。

3)修复方式

A、添加Token,发请求时带上Token。处理请求的时候需要验证Cookie+Token

B、请求头中Referer参数需要校验请求来源是否是目标网页发出

缺点:

(1)Refer值由浏览器提供,不能保证浏览器自身没有安全漏洞

(2)用户可以自己设置浏览器,让其在发送请求时不提供Refer值

优点:简单易行

实际项目中,一般采用添加Refer请求头和添加Token组合的方式,来防止csrf的攻击。

3、跨站点脚本攻击XSS

1)定义

指利用网站漏洞从用户那里恶意盗取信息。简单理解,就是用户输入中可加入JS等破坏性的代码,而程序没有进行过滤,还执行了这些代码,达到了恶意攻击的目的。

2)分类

主要有存储型、反射型和DOM(基于文档对象模型)三种类型。

存储型:攻击的数据会保存到数据库,一般存在于post的写请求或者get的写请求,例子:例如接口请求参数修改为</script+><script>alert(124)</script>,如果存在漏洞,则会存入数据库,每次页面加载,都会执行一次

反射型:攻击的数据,不存在数据库,属于一次性的,用完一次就没了,一般在get请求参数中构造,与存储型的危害差别不大,例子:例如https://www.XXX.com/test?page=</script+><script>alert(124)</script>,如果存在漏洞,则页面会弹出124的窗口

DOM:没有访问服务端,属于纯前端的行为。例子:直接在前端找到元素,修改为</script+><script>alert(124)</script>之后,如果弹出执行窗口,就证明存在漏洞

三者的区别:

存储型和反射型的区别在于:是否存了数据库;

存储型/反射型与DOM的区别在于:是否访问了服务端。

3)风险分析

可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

4)修复方式

使用过滤器,对用户输入执行危险字符清理

4、****密码传输未采用复杂加密方式

1)例子

例如密码仅仅采用md5的加密方式,可通过撞库反解密码。

2)风险分析

单向Hash在被截取到传输中的hash值后,攻击者可以伪造一模一样的POST(重放攻击)请求可成功登录。

3)修复方式

A、添加SALT并进行多次Hash的方式对密码进行加密

B、使用更为高级的加密方式进行传输

5、****解密的登录请求(不属于漏洞)

1)例子

也就是说在接口请求过程中,例如登录接口,密码参数用的名字为password,工具一般会报出来,非漏洞,业界很多接口都是这么写的。

2)风险分析

只有http接口会存在暴露风险,但是现在大多数都是https接口,无伤大雅。

3)修复方式

使用https请求,确保所有登陆请求都以加密方式发送到服务器。

6、****未授权的SQL查询执行

1)定义

对不合法的请求进行了正确的响应,例如去除请求参数,清除HTTP请求体或修改请求方法等等,最后还是返回了状态码200,期望返回除200外的其他状态码。

2)风险分析

没有实质性的危害,主要是规范问题。

3)修复方式

对不合法的请求,不要状态码200,返回其他状态码。

7、恶意站点链接

1)定义

网站中存在恶意站点链接,存在跳转链接,但是要人工自行识别。

2)风险分析

恶意站点可能让用户进入危险页面,导致用户敏感信息泄露。

3)修复方式

对恶意站点或无法访问的站点做下架处理。

8、使用HTTP动词篡改认证旁路

1)风险分析

通过修改HTTP方法后,请求发送成功并且返回的内容“原始响应”的内容完全相同,这表明未对HTTP其他方法(PUT、DELETE)进行限制,导致其他HTTP方法能够绕过站点的认证。

2)修复方式

A、禁用不必要的HTTP方法,一般情况只会保留GET、POST

B、检查tomcat的web.xml,weblogic的weblogic.xml配置,对请求类型进行限制

9、****越权

需要手动覆盖。主要分为水平越权和垂直越权。举个例子:

水平越权:在业务系统中,本来用户A只能对自己的个人信息进行增删改查,但是通过抓包,修改用户id(一般用户id都是递增的),可以获取到其他人的个人信息,或者账号A将自己的个人信息页面通过浏览器发送给用户B,用户B登录系统后可以看到用户A的信息,这就是水平越权了。

垂直越权:在业务系统中,本来用户A对某条记录只有查看的权限,但是通过抓包,可以对记录进行修改,这就是垂直越权了。

10、其他

1)支持不推荐使用的SSL版本

只需要开发同学修改配置即可

2)Cookie中无HTTPonly属性

只需要开发同学修改配置即可

二)漏洞复现方式

1、复现SQL注入漏洞

打开扫描的scan文件,选择SQL注入--请求/响应--测试,根据请求信息,进行复现。

分析下这个问题,这个接口主要是将参数sort_fields的值改为date_time%27%3B后,响应信息中出现了数据库的相关信息,说明攻击成功了。(查看数据库相关的报错信息可点击页面的黄颜色ab按钮,一直往下,可查看所有的报错信息

这是一个get请求,可以直接在浏览器中进行复现,先登录系统,直接在url中输出如图GET后到HTTP/1.1之前的参数,前面加上http://hosthttps://host,拼接起来就是http://host/manage/report/activity-list?pageXXXXXXXXXXXXXXXsort_fields=%7B%22value%22%3A%22date_time%27%3B%22%2C%22soXXXXXXXXXXXXXXXXXX-20%22,%222021-10-19%22]%7D,即可复现。

image
image

2、复现跨站点请求伪造csrf漏洞

在实际的项目中,只要测试报告中有csrf的漏洞问题,就可以人工去查看post或get接口的请求头,是否包含token和referer。

image
image

如果没有包含,就去尝试复现,理论上,使用post请求去复现,但是目前团队由于无法解决跨域的原因,还没构造出对应的表单,所以复现就直接用get接口了,当然,如果大家实现了用post去复现的表单,可以慷慨地分享给我哈~

利用get请求复现的方法很简单:

1)在浏览器中登录系统,找到一个get接口链接A,复制下来

2)再去百度,随便搜索一个博客链接B,找到元素的链接B后,右键,编辑,直接将B替换为所测系统的接口链接A

3)点击博客上刚刚替换链接对应的文字,如果跳转的页面返回了接口A的信息,则证明攻击成功,存在跨站点请求csrf的问题,如果不是,则会返回无权限或接口的其他状态码等等

image
image

3、复现跨站点脚本攻击XSS漏洞

复现步骤与SQL漏洞复现的步骤几乎一致。

1)打开扫描的scan文件,选择跨站点脚本编制--请求/响应--测试,根据请求信息,进行复现。

分析下这个问题,这个接口主要是将参数skuName的值改为%3C%2Fscript+%3E%3Cscript%3Ealert%28124%29%3C%2Fscript%3E(decode解码后是:</script+><script>alert(124)</script>)后,响应信息中出现了js脚本信息,说明攻击成功了。(查看数据库相关的报错信息可点击页面的黄颜色ab按钮,一直往下,可查看所有的报错信息

image
image

这是一个post请求,可通过接口测试工具例如Jmeter或Postman进行复现,请求参数和请求头信息按照工具上的填写即可。这个XSS漏洞属于存储型的,数据会存到数据库,当攻击成功后,数据会被写入数据库,每次加载页面的时候,都会执行该JS脚本,在页面上可以看到如下的效果。

image

补充:

1)复现反射型XSS漏洞的方式,在get接口请求参数中加入</script><script>alert(123456)</script>即可,看页面是否会输出123456,输出了,则证明执行了脚本文件,存在XSS漏洞

image

2)复现DOM基于文档对象模型漏洞的方式,直接在前端找到元素,修改为</script+><script>alert(124)</script>之后,如果弹出执行窗口,就证明存在漏洞

image

四、总结测试结果形成报告

一)发送测试报告

以邮件的形式发送测试报告,测试报告主要包含两份附件:导出的安全测试报告和手写的测试报告。

这两份报告的区别:

从生成的scan测试文件直接导出来的报告,会显示所有的问题,高中低都会显示,且有些问题是无法复现的。

而自己手写的测试报告,包含了开发负责人,测试负责人,以及需要修复的漏洞,对比导出的报告,做出了筛选,只列出了需要修复的漏洞,以及对应的接口地址,修复情况等等。

测试邮件则包含:

1、项目名称

2、网址

3、开发负责人

4、测试负责人

5、测试概述(即介绍安全测试的意义)

6、测试范围

7、测试工具

8、风险等级(包含的漏洞风险等级,以及问题总数)

9、风险类型(SQL注入,跨站点请求伪造等等)

10、测试日期

11、安全审计员

具体报告的呈现形式取决于项目组,如果大家对模板感兴趣,可以私聊我领取。

二)开发修复漏洞

待开发同学修复漏洞之后,需要重新验证,验证方法与重现方法一样,可参考重现方法。

验证完后可在之前的scan文件上,用工具验证一轮。

三)回归验证结果

待所有的问题修复完后,回复一个验证报告。

相信大家看完了整个安全测试流程,对安全测试也有了一定的了解,安全测试对于系统的数据和服务器资源等都有着至关重要的作用。今天分享就到这里,希望对大家有所启发。

ps:我是lc馨馨紫,全网名称统一,期待优秀的你关注我~

原创文章,转载请注明出处~

原文链接:https://mp.weixin.qq.com/s/6UDXAM8o83pOkw9-GlQTCw

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,743评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,296评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,285评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,485评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,581评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,821评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,960评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,719评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,186评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,516评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,650评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,329评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,936评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,757评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,991评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,370评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,527评论 2 349

推荐阅读更多精彩内容