如何进行web渗透测试

　　在目的明确、装备精良、经验丰富的“雇佣军”式的攻击者面前，传统的安全设备已显得力不从心，企业需要做的是定期开展专业的渗透测试，来降低风险，加固安全。这里跟大家介绍一下如何进行web渗透测试。

　　安全狗高级渗透测试服务：http://www.safedog.cn/service.html

如何进行web渗透测试

　　Web渗透测试可以从以下几个方面考虑：

　　1.SQL Injection( SQL 注入)

　　(1)如何进行SQL注入测试?

　　首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等.

　　注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递.在

　　和

　　的标签中间的每一个参数传递都有可能被利用.

　　Gamefinder

　　注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如http://DOMAIN/INDEX.ASP?ID=10

　　其 次,在URL参数或表单中加入某些特殊的SQL语句或SQL片断,如在登录页面的URL中输入http://DOMAIN /INDEX.ASP?USERNAME='HI' OR 1=1

　　注1：根据实际情况,SQL注入请求可以使用以下语句:

　　' or 1=1- -

　　" or 1=1- -

　　or 1=1- -

　　' or 'a'='a

　　" or "a"="a

　　') or ('a'='a

　　注2：为什么是OR， 以及',――是特殊的字符呢?

　　例子：在登录时进行身份验证时，通常使用如下语句来进行验证：sql=select * from user where username='username' and pwd='password'

　　如 输入http://duck/index.asp?username=admin' or 1='1&pwd=11，SQL语句会变成以下：sql=select * from user where username='admin' or 1='1' and password='11'

　　' 与admin前面的'组成了一个查询条件,即username='admin',接下来的语句将按下一个查询条件来执行.

　　接 下来是OR查询条件,OR是一个逻辑运 算符，在判断多个条件的时候，只要一个成立，则等式就成立，后面的AND就不再时行判断了，也就是 说我们绕过了密码验证，我们只用用户名就可以登录.

　　如 输入http://duck/index.asp?username=admin'--&pwd=11，SQL语 句会变成以下sql=select * from user where name='admin' --' and pasword='11',

　　'与admin前面的'组成了一个查 询条件,即username='admin',接下来的语句将按下一个查询条件来执行

　　接下来是"--"查询条件,“--”是忽略或注释,上 述通过连接符注释掉后面的密码验证(注:对ACCESS数据库无 效).

　　最后,验证是否能入侵成功或是出错的信息是否包含关于 数据库 服务器 的相关信息;如果 能说明存在SQL安 全漏洞.

　　试想,如果网站存在SQL注入的危险,对于有经验的恶意用户还可能猜出数据库表和表结构,并对数据库表进行增\删\改的操 作,这样造成的后果是非常严重的.

　　(2)如何预防SQL注入?

　　从应用程序的角度来讲,我们要做以下三项 工作 :

　　转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”).

　　屏蔽出错信息：阻止攻击者知道攻击的结果

　　在服务端正式处理之前提交数据的合法性(合法性检查主要包括三 项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客 户端的输入合法之前,服务端拒绝进行关键性的处理操作.

　　从测试人员的角度来讲,在程序开发前(即需求阶段),我们就应该有意识的将安全性检查应用到需求测试中,例如对一个表单需求进行检查时,我们一般检验以下几项安全性问题:

　　需求中应说明表单中某一FIELD的类型,长度,以及取值范围(主要作用就是禁止输入敏感字符)

　　需求中应说明如果超出表单规定的类型,长度,以及取值范围的,应用程序应给出不包含任何代码或数据库信息的错误提示.

　　当然在执行测试的过程中,我们也需求对上述两项内容进行测试.

　　2.Cross-site scritping(XSS):(跨站点脚本攻击)

　　(1)如何进行XSS测试?

　　<!--[if !supportLists]-->首先,找到带有参数传递的URL,如 登录页面,搜索页面,提交评论,发表留言 页面等等。

　　<!--[if !supportLists]-->其次,在页面参数中输入如下语句(如:Javascrīpt,VB scrīpt, HTML,ActiveX, Flash)来进行测试：

　　alert(document.cookie)

　　最后,当用户浏览 时便会弹出一个警告框，内容显示的是浏览者当前的cookie串,这就说明该网站存在XSS漏洞。

　　试想如果我们注入的不是以上这个简单的测试代码，而是一段经常精心设计的恶意脚本，当用户浏览此帖时，cookie信息就可能成功的被 攻击者获取。此时浏览者的帐号就很容易被攻击者掌控了。

　　(2)如何预防XSS漏洞?

　　从应用程序的角度来讲,要进行以下几项预防:

　　对Javascrīpt,VB scrīpt, HTML,ActiveX, Flash等 语句或脚本进行转义.

　　在 服务端正式处理之前提交数据的合法性(合法性检查主要包括三项:数据类型,数据长度,敏感字符的校验)进行检查等。最根本的解决手段,在确认客户端的输入合法之前,服务端 拒绝进行关键性的处理操作.

　　完整web渗透测试框架

　　当需要测试的web应用数以千计，就有必要建立一套完整的安全测试框架，流程的最高目标是要保证交付给客户的安全测试服务质量。

　　立项：项目建立，时间安排，人力分配，目标制定，厂商接口人确定;

　　系统分析&威胁分析：针对具体的web应用，分析系统架构、使用的组件、对外提供的接口等，以STRIDE为威胁模型进行对应的安全威胁分析，输出安全威胁分析表，重点关注top3威胁;

　　制定测试用例：根据威胁分析的结果制定对应的测试用例，测试用例按照模板输出，具备可执行性;

　　测试执行&漏洞挖掘：测试用例执行&发散测试，挖掘对应的安全问题or漏洞;

　　问题修复&回归测试：指导客户应用开发方修复安全问题or漏洞，并进行回归测试，确保安全问题or漏洞得到修复，并且没有引入新的安全问题;

　　项目总结评审：项目过程总结，输出文档评审，相关文档归档。

　　2、Web应用的渗透测试流程

　　主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用，下面仔细分析一下各个阶段流程：

　　一、信息收集

　　在信息收集阶段，我们需要尽量多的收集关于目标web应用的各种信息，比如：脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等

　　脚本语言的类型：常见的脚本语言的类型包括：php、asp、aspx、jsp等

　　测试方法：

　　1 爬取网站所有链接，查看后缀

　　2 直接访问一个不存在页面后面加不同的后缀测试

　　3 查看robots.txt，查看后缀

　　服务器的类型：常见的web服务器包括：apache、tomcat、IIS、ngnix等

　　测试方法：

　　1 查看header，判断服务器类型

　　2 根据报错信息判断

　　3 根据默认页面判断

　　目录的结构：了解更多的目录，可能发现更多的弱点，如：目录浏览、代码泄漏等。

　　测试方法

　　1 使用字典枚举目录

　　2 使用爬虫爬取整个网站，或者使用google等搜索引擎获取

　　3 查看robots.txt是否泄漏

　　使用的开源软件：我们如果知道了目标使用的开源软件，我们可以查找相关的软件的漏洞直接对网站进行测试。

　　测试方法

　　指纹识别(网络上有很多开源的指纹识别工具)

　　数据库类型：对于不同的数据库有不同的测试方法。

　　测试方法

　　1 使应用程序报错，查看报错信息

　　2 扫描服务器的数据库端口(没做NAT且防火墙不过滤时有效)

　　所有链接页面：这个跟前面的获取目录结构类似，但是这个不只是获取网站的所有功能页面，有时候还可以获取到管理员备份的源码。

　　测试方法

　　1 使用字典枚举页面

　　2 使用爬虫爬取整个网站，或者使用google等搜索引擎获取

　　3 查看robots.txt是否泄漏

　　用到的框架：很多网站都利用开源的框架来快速开发网站，所以收集网站的框架信息也是非常关键的。

　　测试方法

　　指纹识别(网络上有很多开源的指纹识别工具)

　　二、漏洞发现

　　在这个阶段我们在做测试的时候要对症下药，不能盲目的去扫描，首先要确定目标应用是否使用的是公开的开源软件，开源框架等、然后在做深一度的漏洞扫描。

　　关于开源软件的漏洞发现

　　开源的软件：常见的开源软件有wordpress、phpbb、dedecms等

　　开源的框架：常见的开源框架有Struts2、 Spring MVC、ThinkPHP等

　　中间件服务器：常见的中间件服务器有jboss、tomcat、Weblogic等

　　数据库服务：常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等

　　对于开源软件的测试方法

　　1 通过指纹识别软件判断开源软件的版本信息，针对不同的版本信息去开放的漏洞数据库查找相应版本的漏洞进行测试

　　2 对于默认的后台登录页、数据库服务端口认证等入口可以进行简单的暴力破解、默认口令尝试等操作

　　3 使用开源的漏洞发现工具对其进行漏洞扫描，如：WPScan

　　关于自主开发的应用

　　手动测试：这个阶段，我们需要手工测试所有与用户交互的功能，比如：留言、登入、下单、退出、退货、付款等操作

　　软件扫描：使用免费的软件扫描，如：appscan、wvs、netsparker，burp等

　　可能存在的漏洞

　　Owasp关键点

　　代码安全之上传文件

　　代码安全之文件包含

　　代码安全之SSRF

　　逻辑漏洞之密码重置

　　逻辑漏洞之支付漏洞

　　逻辑漏洞之越权访问

　　平台安全之中间件安全

　　三、漏洞利用

　　针对不同的弱点有不同的漏洞利用方式，需要的知识点也比较多。一般这个阶段包括两种方式，一种是手工测试，一种是工具测试

　　手工测试

　　手工测试是通过客户端或服务器访问目标服务，手工向目标程序发送特殊的数据，包括有效的和无效的输入，观察目标的状态、对各种输入的反应，根据结果来发现问题的漏洞检测技术。手工测试不需要额外的辅助工具，可由测试者独立完成，实现起来比较简单。但这种方法高度依赖于测试者，需要测试者对目标比较了解。手工测试可用于Web应用程序、浏览器及其他需要用户交互的程序。

　　这种方式对于有特殊过滤等操作，或者网络上没有成型的利用工具的时候可以使用。

　　工具测试

　　网络上有很多好用的免费利用工具，比如针对sql注入的sqlmap、针对软件漏洞的matesploit等。

　　关于如何进行web渗透测试就介绍到这里，如果说安全检测是“横向地毯式自动化扫描”，那么渗透测试就是“纵向深度人工化入侵”。可见渗透测试的目的是发现目标系统潜在的业务漏洞风险。安全问题都体现在输入输出的问题上，能够分析数据流就有迹可循了。先知道渗透测试的流程，用工具找到漏洞，了解并且复现它。如果您有需要做渗透测试，可以向安全狗咨询渗透测试服务，安全狗资深安全专家将通过模拟黑客攻击的方式，在没有网站代码和服务器权限的情况下，对企业的在线平台进行全方位渗透入侵测试，来评估企业业务平台和服务器系统的安全性。