• 软 件 开 发 生 命 周 期 早 期 缺 点 : • 相 对 新 型 的 技 术 • 良 好 的 威 胁 模 型 并 不 意 味 着 自 动 产 生 良 好 的 软 件 代 码 复 查 概 要 代 码 复 查 是 手 动 检 查 的 一 个 过 程 , 它 往 往 用 于 检 查 WEB 应 用 程 序 中 的 源 代 码 可 能 存 在 的 安 全 问 题 。 许 多 严 重 的 安 全 漏 洞 不 能 被 任 何 其 它 形 式 的 分 析 或 测 试 所 检 测 到 。 有 句 俗 话 , “ 如 果 你 想 知 道 一 件 事 是 怎 幺 产 生 的 , 请 直 接 寻 找 其 根 源 。” 几 乎 所 有 的 安 全 专 家 一 致 认 为 , 没 有 任 何 检 测 方 法 可 以 取 代 代 码 审 查 。 几 乎 所 有 信 息 安 全 问 题 都 被 证 实 为 代 码 问 题 。 与 对 源 代 码 不 开 放 的 第 三 方 软 件 , 如 操 作 系 统 进 行 测 试 不 同 , 测 试 Web 应 用 程 序 时 ( 特 别 是 如 果 他 们 已 经 完 成 内 部 定 制 ) 源 代 码 应 当 用 于 测 试 目 的 。 一 些 由 于 过 失 而 导 致 的 显 着 安 全 问 题 , 通 过 其 它 形 式 的 分 析 和 测 试 , 比 如 渗 透 测 试 是 极 其 难 以 发 现 的 , 这 也 是 在 测 试 技 术 中 源 代 码 复 查 技 术 不 可 缺 失 的 原 因 。 测 试 者 通 过 代 码 复 查 可 以 准 确 判 断 接 下 来 将 发 生 什 幺 事 情 ( 或 应 该 发 生 ), 消 除 了 黑 盒 测 试 中 的 猜 测 过 程 。 源 代 码 复 查 特 别 有 利 于 发 现 以 下 安 全 问 题 : 如 并 发 的 问 题 , 有 缺 陷 的 业 务 逻 辑 , 访 问 控 制 的 问 题 , 加 密 的 弱 点 , 后 门 , 木 马 , 复 活 节 彩 蛋 , 定 时 炸 弹 , 逻 辑 炸 弹 , 和 其 它 形 式 的 恶 意 代 码 。 这 些 问 题 在 网 站 中 往 往 表 现 为 最 有 害 的 漏 洞 。 源 代 码 分 析 对 于 查 找 可 能 存 在 的 执 行 问 题 , 比 如 某 个 需 要 输 入 验 证 的 地 方 不 能 有 效 执 行 或 打 开 控 制 进 程 失 败 是 十 分 有 效 的 。 但 是 请 记 住 , 业 务 流 程 同 样 需 要 加 以 审 查 , 因 为 真 实 运 行 环 境 中 的 源 代 码 可 能 与 此 处 已 分 析 的 源 代 码 不 一 样 [13]。 优 点 : • 完 整 性 和 有 效 性 • 准 确 • 快 速 ( 对 具 有 高 能 力 的 复 查 者 而 言 ) 缺 点 : • 需 要 高 度 熟 练 的 安 全 开 发 者 • 可 能 错 过 存 在 于 已 编 译 好 的 类 库 中 的 问 题 • 无 法 检 测 运 行 时 产 生 的 错 误 • 真 实 运 行 环 境 中 的 源 代 码 可 能 与 此 处 已 分 析 的 源 代 码 不 一 样 欲 了 解 关 于 代 码 审 查 的 更 多 信 息 , 查 询 OWASP 代 码 审 查 项 目 。 24
OWASP 测 试 指 南 v3.0 渗 透 测 试 概 述 渗 透 测 试 作 为 一 个 网 络 安 全 通 用 的 测 试 技 术 已 经 多 年 。 它 也 通 常 被 称 为 黑 盒 测 试 或 道 德 入 侵 (Ethical Hacking)。 渗 透 测 试 在 本 质 上 是 “ 艺 术 ”, 在 不 知 道 内 部 运 作 的 应 用 程 序 本 身 的 情 况 下 , 对 正 在 运 行 的 应 用 进 行 远 程 检 测 , 发 现 安 全 漏 洞 。 通 常 , 渗 透 测 试 团 队 会 假 装 成 合 法 用 户 使 用 应 用 程 序 进 行 。 测 试 者 通 过 模 拟 攻 击 者 的 攻 击 手 法 , 试 图 发 现 并 利 用 安 全 漏 洞 。 通 常 情 况 下 , 测 试 者 将 得 到 一 个 有 效 的 系 统 帐 户 。 对 网 络 安 全 而 言 , 渗 透 测 试 已 被 证 明 是 一 种 非 常 有 效 的 检 测 手 段 , 然 而 该 技 术 对 应 用 而 言 却 不 是 十 分 有 效 。 当 测 试 者 对 网 络 和 操 作 系 统 进 行 渗 透 测 试 时 , 大 多 数 的 工 作 是 寻 找 , 然 后 采 用 具 体 技 术 对 已 知 漏 洞 加 以 利 用 。Web 应 用 程 序 几 乎 完 全 定 制 , 对 Web 应 用 进 行 渗 透 测 试 更 象 是 纯 理 论 的 研 究 。 虽 然 已 经 开 发 出 来 自 动 化 渗 透 测 试 工 具 , 但 是 , 针 对 Web 应 用 程 序 的 性 质 其 效 力 通 常 很 差 。 许 多 人 今 天 使 用 Web 应 用 程 序 渗 透 测 试 作 为 其 主 要 的 安 全 检 测 技 术 。 虽 然 在 测 试 过 程 中 , 其 肯 定 占 有 一 席 之 地 , 然 而 , 我 们 不 认 为 它 应 被 看 作 是 主 要 的 或 唯 一 的 测 试 技 术 。Gary McGraw[14] 对 渗 透 测 试 进 行 了 总 结 , 他 说 : “ 如 果 一 个 渗 透 测 试 未 通 过 , 你 知 道 你 确 实 有 一 个 非 常 不 好 的 问 题 。 如 果 你 通 过 了 渗 透 测 试 , 你 不 知 道 你 没 有 一 个 非 常 不 好 的 问 题 ”。 然 而 , 集 中 渗 透 测 试 ( 即 试 图 利 用 之 前 检 测 发 现 的 已 知 漏 洞 检 测 ) 可 用 于 检 测 某 些 特 定 的 安 全 漏 洞 , 如 部 署 在 网 站 上 的 固 定 的 源 代 码 。 优 点 : • 可 以 快 速 进 行 ( 因 此 便 宜 ) • 需 要 较 低 的 技 能 , 相 对 于 源 代 码 复 查 而 言 缺 点 : • 测 试 实 际 曝 露 的 代 码 ( 译 注 : 即 指 实 际 运 行 的 程 序 ) • 软 件 开 发 生 命 周 期 晚 期 • 仅 仅 测 试 前 部 影 响 ! 方 法 平 衡 的 需 求 针 对 WEB 应 用 安 全 测 试 , 有 如 此 之 多 的 技 术 及 方 法 , 了 解 何 时 选 用 哪 一 种 技 术 进 行 测 试 非 常 困 难 。 经 验 表 明 , 选 取 哪 一 种 技 术 用 于 建 立 测 试 框 架 并 没 有 对 错 之 分 。 事 实 上 , 所 有 的 技 术 都 应 该 被 适 当 采 用 以 确 保 所 有 需 要 测 试 的 范 围 都 已 经 被 测 试 。 但 是 , 显 而 易 见 的 是 不 存 在 某 一 种 单 一 的 技 术 可 以 覆 盖 安 全 测 试 的 各 个 方 面 以 确 保 所 有 的 问 题 都 已 涉 及 到 。 在 以 往 , 许 多 公 司 都 采 取 渗 透 测 试 这 一 种 方 法 进 行 测 试 。 虽 然 渗 透 测 试 在 一 定 程 度 上 具 有 可 用 性 , 但 是 不 能 涉 及 到 所 有 需 要 测 试 的 问 题 , 并 且 对 于 软 件 开 发 生 命 周 期 而 言 , 渗 透 测 试 过 于 简 单 和 迟 来 。 正 确 的 做 法 是 采 取 多 种 技 术 以 达 到 平 衡 , 包 括 人 工 检 查 和 测 试 技 术 。 方 法 平 衡 应 确 保 在 覆 盖 到 软 件 开 发 生 命 周 期 的 各 个 阶 段 。 这 种 方 法 可 以 根 据 当 前 所 在 的 软 件 开 发 生 命 周 期 的 阶 段 平 衡 一 种 最 合 适 的 技 术 。 当 然 , 在 某 些 时 间 或 情 况 下 , 一 种 测 试 技 术 也 是 有 可 能 的 ; 例 如 , 针 对 WEB 应 用 所 做 的 测 试 框 架 已 经 建 立 , 但 是 测 试 团 队 无 法 获 取 WEB 应 用 源 代 码 。 在 这 种 情 况 下 , 渗 透 测 试 总 好 过 不 进 行 测 试 。 然 而 , 我 们 鼓 励 测 试 团 队 挑 战 假 设 , 比 如 不 能 获 取 源 代 码 时 , 探 索 其 它 更 25
- Page 1 and 2: OWASP 测 试 指 南 2008 V3.0 致
- Page 3 and 4: OWASP 测 试 指 南 v3.0 4 WEB
- Page 5 and 6: OWASP 测 试 指 南 v3.0 4.8.5.1
- Page 7 and 8: OWASP 测 试 指 南 v3.0 前 言
- Page 9 and 10: OWASP 测 试 指 南 v3.0 第 一
- Page 11 and 12: OWASP 测 试 指 南 v3.0 1. 首
- Page 13 and 14: OWASP 测 试 指 南 v3.0 • Vice
- Page 15 and 16: OWASP 测 试 指 南 v3.0 结 构
- Page 17 and 18: OWASP 测 试 指 南 v3.0 2. 导
- Page 19 and 20: OWASP 测 试 指 南 v3.0 图 1:
- Page 21 and 22: OWASP 测 试 指 南 v3.0 了 解
- Page 23: OWASP 测 试 指 南 v3.0 • 无
- Page 27 and 28: OWASP 测 试 指 南 v3.0 许 多
- Page 29 and 30: OWASP 测 试 指 南 v3.0 安 全
- Page 31 and 32: OWASP 测 试 指 南 v3.0 • 用
- Page 33 and 34: OWASP 测 试 指 南 v3.0 1) 密
- Page 35 and 36: OWASP 测 试 指 南 v3.0 单 位
- Page 37 and 38: OWASP 测 试 指 南 v3.0 安 全
- Page 39 and 40: OWASP 测 试 指 南 v3.0 [23]。
- Page 41 and 42: OWASP 测 试 指 南 v3.0 3. OWASP
- Page 43 and 44: OWASP 测 试 指 南 v3.0 • 问
- Page 45: OWASP 测 试 指 南 v3.0 第 5
- Page 48 and 49: 下 面 的 参 数 两 种 方 式
- Page 50 and 51: OWASP-AT-005 Testing for bypassing
- Page 52 and 53: 拒 绝 服 务 测 试 OWASP-DS-00
- Page 54 and 55: 4.2.1 测 试 : 蜘 蛛 , 机 器
- Page 56 and 57: 4.2.2 搜 索 引 擎 发 现 / 侦
- Page 58 and 59: 灰 盒 测 试 灰 盒 测 试 与
- Page 60 and 61: 这 个 例 子 展 示 了 通 过
- Page 62 and 63: 确 定 web 服 务 器 最 简 单
- Page 64 and 65: ETag: 32417-c4-3e5d8a83 Accept-Rang
- Page 66 and 67: Content-length: 0 Content-type: tex
- Page 68 and 69: 参 考 白 皮 书 工 具 • Sau
- Page 70 and 71: 有 三 个 因 素 影 响 了 在
- Page 72 and 73: Escape character is '^]'. GET / HTT
- Page 74 and 75:
tomDNS: http://www.tomdns.net/ (som
- Page 76 and 77:
Microsoft OLE DB Provider for ODBC
- Page 78 and 79:
这 意 味 着 , 自 定 义 IIS
- Page 80 and 81:
4.3.3 基 础 结 构 配 置 管
- Page 82 and 83:
[root@test]# Example 2. 使 用 Nes
- Page 84 and 85:
Ay+7EleYWPOo+EST315QLpU6pQgblgobGoI
- Page 86 and 87:
警 告 。 我 们 正 在 访 问
- Page 88 and 89:
4.3.2 数 据 库 监 听 测 试 (
- Page 90 and 91:
User name OUTLN DBSNMP BACKUP MONIT
- Page 92 and 93:
• Oracle Database Listener Securi
- Page 94 and 95:
如 , 根 据 报 头 日 期 , 如
- Page 96 and 97:
4.3.4 应 用 配 置 管 理 测
- Page 98 and 99:
日 志 中 的 敏 感 信 息 有
- Page 100 and 101:
Lotus Domino • Lotus Security Han
- Page 102 and 103:
• .bak, .old 和 其 它 表 示
- Page 104 and 105:
• 在 某 些 情 况 下 , 复
- Page 106 and 107:
基 本 猜 测 攻 击 应 该 针
- Page 108 and 109:
在 许 多 情 况 下 , 这 种
- Page 110 and 111:
• CONNECT: 此 方 法 可 让
- Page 112 and 113:
使 浏 览 器 发 送 TRACE 请
- Page 114 and 115:
灰 盒 测 试 实 例 灰 盒 测
- Page 116 and 117:
性 , 但 是 这 个 问 题 将
- Page 118 and 119:
User=test&Pass=test&portal=ExampleP
- Page 120 and 121:
无 效 的 用 户 / 错 误 密
- Page 122 and 123:
http://www.foo.com/account1 - we re
- Page 124 and 125:
4.4.3 默 认 或 可 猜 解 ( 遍
- Page 126 and 127:
预 期 结 果 : 对 所 测 试
- Page 128 and 129:
o o basic 接 入 认 证 digest
- Page 130 and 131:
esponse="2275a9ca7b2dadf252afc79923
- Page 132 and 133:
执 行 内 存 权 衡 攻 击 ,
- Page 134 and 135:
另 一 个 和 验 证 设 计 有
- Page 136 and 137:
下 面 的 图 标 表 明 , 通
- Page 138 and 139:
或 者 ( 或 除 此 之 外 ) ,
- Page 140 and 141:
4.4.7 注 销 和 浏 览 器 缓
- Page 142 and 143:
或 者 , 我 们 可 以 在 浏
- Page 144 and 145:
• Internet Explorer: o C:\Documen
- Page 146 and 147:
查 看 是 否 类 似 CAPTCHAs
- Page 148 and 149:
Web 应 用 最 常 见 的 认 证
- Page 150 and 151:
定 制 的 “ 随 机 产 生 并
- Page 152 and 153:
另 一 个 例 子 是 OWASP 的 W
- Page 154 and 155:
4.5.1 会 话 管 理 模 式 测
- Page 156 and 157:
• 应 用 的 哪 一 部 分 产
- Page 158 and 159:
1. 不 可 预 测 性 : 一 个 Co
- Page 160 and 161:
Cookie 明 文 认 证 实 例 例
- Page 162 and 163:
m, q, s, u, y, z vgnvisitor False 2
- Page 164 and 165:
问 题 描 述 安 全 使 用 Coo
- Page 166 and 167:
• Expires 属 性 —— 如 果
- Page 168 and 169:
Cookie: JSESSIONID=0000d8eyYq3L0z2f
- Page 170 and 171:
每 一 次 认 证 成 功 , 用
- Page 172 and 173:
4.5.5 CSRF 测 试 (OWASP-SM-005)
- Page 174 and 175:
... 当 显 示 此 网 页 时 ,
- Page 176 and 177:
或 通 过 一 个 链 接 直 接
- Page 178 and 179:
• Oldest known post - http://www.
- Page 180 and 181:
• 是 否 存 在 有 趣 的 变
- Page 182 and 183:
lang:php (include|require)(_once)?\
- Page 184 and 185:
例 如 , 分 析 使 用 一 个
- Page 186 and 187:
测 试 应 核 实 执 行 特 权
- Page 188 and 189:
理 帐 户 、 不 同 权 限 的
- Page 190 and 191:
o 什 幺 是 整 个 群 的 政
- Page 192 and 193:
• 一 旦 SIM 卡 被 “ 转 移
- Page 194 and 195:
ORM 注 入 测 试 同 样 类 似
- Page 196 and 197:
攻 击 者 通 常 会 利 用 这
- Page 198 and 199:
由 于 大 多 数 的 客 户 端
- Page 200 and 201:
4.8.2 存 储 式 跨 站 脚 本
- Page 202 and 203:
确 保 通 过 应 用 程 序 提
- Page 204 and 205:
alert(document.cookie) Internet Exp
- Page 206 and 207:
• WebScarab WebScarab is a framew
- Page 208 and 209:
此 外 , 许 多 在 过 去 导
- Page 210 and 211:
例 如 : movieClip 328 __Packages.
- Page 212 and 213:
flash.external.ExternalInterface.ca
- Page 214 and 215:
工 具 • SWFIntruder: https://ww
- Page 216 and 217:
类 似 上 面 例 子 中 的 完
- Page 218 and 219:
通 过 使 用 推 理 方 法 ,
- Page 220 and 221:
答 : 存 储 过 程 。 我 多
- Page 222 and 223:
• Bernardo Damele and Daniele Bel
- Page 224 and 225:
Oracle-Application-Server-10g/10.1.
- Page 226 and 227:
绕 过 排 除 清 单 - 方 法 2
- Page 228 and 229:
24 inject'point; .. 这 会 在 错
- Page 230 and 231:
参 考 白 皮 书 • Hackproofin
- Page 232 and 233:
MySQL 服 务 器 存 在 一 个
- Page 234 and 235:
..[skipped].. ..[skipped].. SCHEMAT
- Page 236 and 237:
• 基 于 时 间 的 盲 注 :BE
- Page 238 and 239:
成 功 执 行 将 创 建 一 个
- Page 240 and 241:
DECLARE @result int, @OLEResult int
- Page 242 and 243:
获 取 不 显 示 的 信 息 (
- Page 244 and 245:
例 9: 暴 力 破 解 管 理 密
- Page 246 and 247:
为 了 枚 举 查 询 的 属 性
- Page 248 and 249:
小 技 巧 有 时 一 些 过 滤
- Page 250 and 251:
* ascii(n): 返 回 对 应 字 符
- Page 252 and 253:
PostgreSQL 通 过 使 用 动 态
- Page 254 and 255:
• 创 建 一 个 proxyshell 函
- Page 256 and 257:
searchfilter="(cn="+user+")" 实
- Page 258 and 259:
灰 盒 检 测 实 例 如 果 检
- Page 260 and 261:
gandalf !c3 0 gandalf@middle
- Page 262 and 263:
是 有 效 的 形 成 , 体 现
- Page 264 and 265:
]>&xxe; ]>&xxe; 这 些 检 测
- Page 266 and 267:
这 样 一 来 , 原 来 的 useri
- Page 268 and 269:
alert("XSS") 当 下 次 服 务
- Page 270 and 271:
如 下 XPath 查 询 将 返 回
- Page 272 and 273:
辨 认 漏 洞 参 数 为 了 查
- Page 274 and 275:
确 认 所 有 存 在 漏 洞 的
- Page 276 and 277:
4.8.12 代 码 注 入 (OWASP-DV-01
- Page 278 and 279:
http://sensitive/cgi-bin/userData.p
- Page 280 and 281:
灰 盒 检 测 过 滤 URL 和 表
- Page 282 and 283:
上 图 显 示 的 两 个 寄 存
- Page 284 and 285:
工 具 • OllyDbg: "A windows bas
- Page 286 and 287:
如 调 试 器 的 寄 存 器 窗
- Page 288 and 289:
• Aleph One: "Smashing the Stack
- Page 290 and 291:
另 外 , 当 同 一 段 代 码
- Page 292 and 293:
• 首 先 攻 击 媒 介 需 要
- Page 294 and 295:
渗 透 测 试 者 在 服 务 器
- Page 296 and 297:
Date: Sun, 03 Dec 2005 16:22:19 GMT
- Page 298 and 299:
该 案 例 中 请 求 #1 包 含
- Page 300 and 301:
这 条 语 句 在 一 个 拥 有
- Page 302 and 303:
概 述 第 一 种 DoS 情 况 是
- Page 304 and 305:
灰 盒 测 试 请 参 照 指 南
- Page 306 and 307:
如 果 怀 疑 应 用 程 序 中
- Page 308 and 309:
} calStmt.executeUpdate(); calStmt.
- Page 310 and 311:
4.10.1 WS 信 息 收 集 (OWASP-WS
- Page 312 and 313:
在 这 个 XML 文 件 里 我
- Page 314 and 315:
UDDI Browser UDDI 浏 览 器 有
- Page 316 and 317:
Italy Roma 创 建 一 个 不
- Page 318 and 319:
这 里 我 们 看 到 调 用 了
- Page 320 and 321:
987654321 987654321 WSDigger WSDi
- Page 322 and 323:
例 2: 回 到 下 面 的 WS 例
- Page 324 and 325:
二 进 制 附 件 Web 服 务 器
- Page 326 and 327:
minInclusive: 指 定 数 字 值
- Page 328 and 329:
执 行 任 意 代 码 用 来 安
- Page 330 and 331:
概 述 二 进 制 文 件 包 括
- Page 332 and 333:
预 期 结 果 : EICAR 测 试 病
- Page 334 and 335:
1. Web 服 务 是 否 使 用 某
- Page 336 and 337:
其 次 , 在 一 个 非 SSL 连
- Page 338 and 339:
阻 断 服 务 攻 击 是 一 个
- Page 340 and 341:
黑 盒 测 试 实 例 测 试 AJA
- Page 342 and 343:
从 现 在 起 , XMLHttpRequest
- Page 344 and 345:
参 考 OWASP • AJAX 安 全 工
- Page 346 and 347:
• 步 骤 5: 决 定 需 要 修
- Page 348 and 349:
技 术 影 响 可 以 分 解 为
- Page 350 and 351:
接 着 , 我 们 需 要 指 出
- Page 352 and 353:
5.2 如 何 书 写 这 个 测 试
- Page 354 and 355:
OWASP-AT-007 注 销 和 浏 览
- Page 356 and 357:
这 部 分 常 用 于 描 述 评
- Page 358 and 359:
SSL 测 试 • Toad for Oracle - h
- Page 360 and 361:
• HttpUnit - http://httpunit.sour
- Page 362 and 363:
• OASIS WAS XML — http://www.oa
- Page 364 and 365:
缓 冲 区 溢 出 或 者 内 存
- Page 366 and 367:
%27+OR+%277659%27%3D%277659 %22+or+
- Page 368 and 369:
x'+or+1=1+or+'x'='y / // //* */* @*
- Page 370 and 371:
例 如 一 个 用 以 保 护 单