web应用渗透测试的步骤.docVIP

下载本文档

4
0
约7.86千字
约 8页
2019-07-13 发布于上海
举报
版权申诉

web应用渗透测试的步骤.doc

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

　　渗透测试的两大阶段　　渗透测试不能测试出所有可能的安全问题，它只是一个特定环境下才合适的WEB应用安全测试技术。OWASP的渗透测试方法是基于墨盒方法的，测试人员在测试前不知道或只知道很有限的关于被测试应用的信息。　　渗透测试被分成两大阶段：　　■ 被动模式阶段　　在这个阶段，测试人员试图去理解被测应用的逻辑，并且去使用它。可以使用工具去收集信息，例如，可以用HTTP代理工具去观察所有请求与响应。本阶段结束后，测试人员应该理解了应用的所有访问点（如，HTTP报头、参数和COOKIE）。信息收集一节将介绍如何进行被动模式的测试。　　■ 主动模式阶段　　这个阶段里，测试人员将利用后述的9大类66种方法主动地去测试。　　被动模式阶段　　信息收集　　安全评估的第一步是收集尽可能多的关于被测应用的信息。信息收集是渗透测试的必要步骤。通常使用公共工具（有哪些信誉好的足球投注网站引擎）、扫描器、发送简单或特别的HTTP请求等来迫使被测应用泄漏信息。　　◆ 使用蜘蛛、机器人和爬虫　　目标是浏览和捕获被测应用相关的资源。　　◆ 有哪些信誉好的足球投注网站引擎发现与侦察　　类似 GOOGLE这样的有哪些信誉好的足球投注网站引擎可以用来发现被测应用中已经被公开的错误页面或WEB应用结构问题。　　◆ 识别应用入口点　　枚举被测应用及其攻击面是展开任何攻击的的一个关键性前提。　　◆ 测试WEB应用指纹　　应用指纹是信息收集的第一步。知道正在运行的WEB服务器的版本和类型后，测试人员可以确定已知的漏洞和测试过程中的相应攻击方法。获取WEB应用指纹的自动化工具Httprint和在线工具Netcraft。　　◆ 应用发现　　应用发现是一项面向驻留在WEB/应用服务器中的WEB应用识别的活动。这种分析很重要，因为没有一个链接直接连接到主要应用的后端。分析可以发现有助于揭示诸如用于管理目的的WEB应用程序的细节。此外，它可以揭示诸如取消删除的，过时的脚本文件，这些文件通常是在测试、开发或维护过程产生的。可能使用到的工具：　　1、DNS查询工具，如nslookup， dig等。　　2、端口扫描器（如nmap： http：//）和漏洞扫描器（如Nessus： http：//和wikto： [1]）。　　3、有哪些信誉好的足球投注网站引擎（如Google）。　　4、基于WEB的与DNS相关的专业服务，如Netcraft的DNS有哪些信誉好的足球投注网站服务：http：///？host。　　◆ 错误代码分析　　在渗透测试过程中，WEB应用程序可能会泄露一些不应该被最终用户看到的信息。测试人员根据诸如错误代码之类的信息可以推测出应用所使用的技术和产品。在不当的异常处理设计与编码的情况下，错误代码通常不需要专门技能或工具就可以很容易地去调用它。显然，只注重于WEB应用不可能达到详尽的测试，它达不到通过更广泛地基础分析收集到的信息后对被测应用的理解程度。　　主动模式　　配置管理测试　　经常分析基础结构和拓扑结构可以获取大量的Web应用程序的信息。如源代码，可允许的HTTP方法，管理功能，身份认证的方法和基础结构的配置。　　◆ SSL/TLS测试　　SSL和TLS是两个通过加密为传播的信息提供安全信道的协议，该安全信道具有保护，必威体育官网网址和身份认证的功能。考虑到这些安全工具的关键性，确保加密算法的高强度及其正确执行非常重要。　　◆ 数据库监听测试　　在数据库服务器配置时，许多数据库管理员没有充分考虑到数据库侦听器组件的安全。如果没有进行安全的配置而使用手动或自动的技术进行侦听，侦听器就可能泄露敏感数据以及配置信息或运行的数据库实例信息。泄露的信息对测试者来说通常是有用的，他能将此投入到后续更有影响的测试中去。可能用到的工具：　　tnscmd（Perl）： http：///%7Ejwa/hacks/security/tnscmd/tnscmd-doc.html 　　Toad for Oracle： http：///toad 　　◆ 基础结构配置管理测试　　相互联系的混杂的Web服务器结构能有数以百计的web应用程序，这种固有的复杂性使配置管理和审查成为测试和部署每一个应用程序的一个基本步骤。事实上一个漏洞就能破坏整个基础结构的安全，甚至某些微小且（几乎）不重要的问题可能对于相同服务器上的另外一个应用程序是个严重的威胁。为了解决这些问题，对配置和已知的安全问题执行深入审查是非常重要的。　　◆ 应用配置管理测试　　Web应用程序隐藏了一些通常在应用程序自身开发和配置中没有考虑到的信息。这些信息可能从源代码，日志文件或Web 服务器的默认错误代码中泄露。正确对待这一问题是安全评估中最基本的。　　◆ 文件扩展名处理测试　　从Web服务器或Web应用程序上的文件扩展名能够识别出目标应用程序使用的技术，例如扩展