一、回答下述问题:
1.阐述常见的Web安全测试有几种类型?参考教材P173.
(1)数据加密:某些数据需要进行信息加密和过滤后才能在客户端和服务器之间进行传输,包括用户登录密码、信用卡信息等。例如,在登录某银行网站时,该网站必须支持SSL协议,通过浏览器访问该网站时,地址栏的http变成https,建立https连接。这相当于在HTTR阳 TCP之间增加了一层加密——SSL协议。SSL是利用公开密钥/私有密钥的加密技术(RSA),建立用户与服务器之间的加密通信,确保所传递信息的安全性。数据加密的安全性还包括加密的算法、密钥的安全性。
(2)登录或身份验证:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登录测试的时候,需要考虑输入的密码是否大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件需要登录后才能访问/下载等。身份验证还包括调用者身份、数据库的身份、用户授权等,并区分公共访问和受限访问,受限访问的资源。
(3)输入验证:在进行Web安全性测试时,每个输入域都需要用标准的机制验证,长度、数据类型等符合设定要求,不允许输入JavaScript代码,包括验证从数据库中检索的数据、传递到组件或Web服务的参数等。
(4)SQL注入:从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取必要的数据库信息,然后基于这些信息,可以注入某些参数,绕过程序的保护,针对数据库服务器进行攻击。
(5)超时限制:Web应用系统一般会设定“超时”限制,当用户长时间不做任何操作时,需要重新登录才能打开其他页面。
(6)目录:Web的目录安全也是不容忽视的,如果Web程序或Web服务器的处理不适当,可以通过简单的URL替换和推测,使整个Web目录暴露出来,带来严重的安全隐患。可以采用某些方法将这种隐患降低到最小程度,如每个目录下都存在index.htm,以及严格设定Web服务器的目录访问权限。
(7)操作留痕:为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进入了日志文件,是否可追踪。
二、安全测试工具调研
1. 概述
列出常见的安全测试工具,画一张表,加以说明。格式如下:
| 序号 | 安全测试工具 | 商用or免费 | 检测对象(二进制代码/源代码) | 简介 |
| 1 | Metasploit | 免费 | 源代码 | 能够验证绝大多数的安全漏洞,还可以进行实际的入侵工作 |
| 2 | Nessus | 个人用户免费、 商业用户收费 | 源代码 | 对本机或者其他可访问的服务器进行漏洞扫描 |
| 3 | X-Scan | 免费 | 二进制代码 | 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。 |
| 4 | W3AF | 免费 | 源代码 | web应用安全的攻击、审计平台 |
| 5 | Snort | 免费 | 源代码 | 对网络上的数据包进行抓包分析 |
| 6 | Nikto | 免费 | 源代码 | 可以对web服务器多种项目进行全面测试 |
| 7 | Parosproxy | 免费 | 源代码 | 基于java的web代理程序,可以评估web应用程序的漏洞 |
2.选择一个开源的安全测试工具,开展试用,写一个试用报告。报告内容 安全测试工具试用
1)记录完整的测试过程(工具安装、环境设置、测试过程、结果分析),包括脚本文件;
2) 提交安全测试报告,描述所做的测试、遇到的问题、结果分析等,要包括主要的测试运行截图。
我选用了Metasploit
步骤如下图所示
Metasploit目前提供了三种用户使用接口,一个是GUI模式,另一个是console模式,第三种是CLI(命令行)模式。
Windows下GUI启动方式,从开始菜单——Metasploit Framework——Metaspliit GUI即可
所遇到的问题大概就是从下载到安装全是在百度找的教程,非常不熟练,但耐心地做最后还是成功做好了,希望以后能更多多了解这些软件吧。