OWASPæµè¯æå

More documents

Recommendations

Info

务器也许不配置以下内容 : 最小的特权、合法的 SSL 证书和安全配置、关闭基本服务和网页根目录没有从测试和管理网页中移除。安全测试数据分析和报告安全测试指标 (Metrics) 和测量的目标安全测试的指标和衡量定义的目标的一个前提是对风险分析和管理过程于使用安全测验数据。例如 , 衡量的一个例子 : 安全测试中发现弱点的总数也许由应用安全状态定量。这些衡量标准也帮助软件安全测试识别安全目标 , 例如 , 在应用部署入生产之前将弱点数量降低到一个可接受的数字 ( 极小值 )。另一个可管理的目标就是对比基线对应的应用程序安全状态去评估应用安全过程进展。例如 , 安全度规基础线也许包含了仅做渗透试验的应用。相比于基础线 , 在编码期间也做了安全测试的应用程序中的安全数据应该显示进程 ( 即 , 更少的弱点数量 )。在传统软件测试中 , 软件瑕疵的数量 ( 例如应用程序中发现的 bugs) 能提供衡量软件质量的标准。同样地 , 安全测试可以提供软件安全的一个衡量标准。从瑕疵管理和报告角度透视 , 软件质量和安全测试可能对起因和瑕疵修正力度使用相似的分类法。从起因透视 , 安全瑕疵是由设计错误引起的 ( 即 , 安全漏洞 ), 或者是编码时的错误 ( 如安全 bug) . 从瑕疵修正力度透视 , 安全上和质量上的瑕疵可以根据开发员用于修补的时间来衡量 , 或是用于修复的工具和资源 , 最后是用于实施修复的花费。与质量数据比较 , 安全测试数据的特异在于以下范畴的不同 : 威胁、弱点的泄露和弱点引起的潜在的攻击影响风险等级。安全的测试应用程序包括通过管理技术风险来确保应用对抗措施达到可验收水平。为此 , 在 SDLC 期间安全测验数据必须在重要的检测点上支持安全风险战略。比如 , 用源代码分析发现源代码中的弱点代表风险中一项最初的衡量标准。这些弱点风险的衡量 ( 即 , 高 , 中等 , 低 ) 可以通过泄露和可能性因素的计算确定 , 或者 , 进一步通过渗透测试验证。与安全测试中发现的弱点风险相关的度规授权业务管理做出风险管理决定 , 例如决定风险是否在接受、缓和或者传送到组织中的另一个层面 ( 如业务和技术 )。当评估应用程序的安全状态时 , 某些因素的考虑很重要 , 如开发的应用程序的规模。统计证明 : 应用程序的规模与在应用程序测试中发现的问题数量有关。应用程序规模的一项衡量标准是应用中的代码排数 (LOC)。一般来说 , 软件质量中的瑕疵范围大约是每一千条新的或者变化代码中有 7 到 10 个 [21]。由于通过一次测试可以减少大约整体数量中 25%, 逻辑上来讲 , 规模大的应用程序应该比小规模的做更多更频繁的测试。当在 SDLC 的几个阶段都完成安全测试时 , 在侦查弱点方面的测验数据就能证明安全测试的能力 , 在 SDLC 的不同的监测点 , 这些弱点一旦引入 , 就能通过执行对抗措施证明移除它们的有效性。这个类型的衡量标准也被定义成 “ 容量度规 ”, 并且提供开发过程中维持各个阶段安全的演示的安全评估能力的衡量标准。这些容量度规对于降低修复弱点的费用也是至关重要的因素 , 因为在同一个 SDLC 阶段修补弱点比到另一个阶段修补它花费的代价小很多。当它同有形和计时的目标联系在一起时 , 安全测试度规对安全风险、费用和瑕疵管理分析有以下帮助 : • 减少 30% 的漏洞 • 安全问题有望在期限内修复 ( 如 : 在 Beta 发行之前 ) 36
OWASP 测试指南 v3.0 安全测验数据可以是绝对的 , 例如在手工代码审查期间查出的弱点数量 , 以及比较性 , 例如在代码审查出的弱点数量 vs 渗透测试查出的弱点数量。要回答关于安全程序的质量问题 , 必须确定一条分辨能否接受和好坏的基础线。安全测试数据也可体现安全分析的具体宗旨 , 例如遵照安全程序的安全章程和信息安全标准、管理方式 ; 识别安全起因和程序改进 , 安全花费 vs 效益分析。当报告安全测试数据时需要提供度规以支持分析。分析的范围是解释测试数据并找到关于生产出软件的安全性和程序的有效性。支持安全测试数据线索的例子是 : • 漏洞已经减少到可以发行的验收水平 ? • 与类似的软件产品相比 , 这个产品的安全质量如何 ? • 是否达到所有安全测试要求 ? • 安全问题的主要起因是什么 ? • 相对于安全缺陷 , 安全 bug 有多少 ? • 哪种安全行为对发现弱点最有效 ? • 哪个团队在修复安全瑕疵和弱点是效率最高 ? • 高风险的漏洞所占的百分比 ? • 哪些工具侦查安全漏洞是最有效的 ? • 哪种安全测试寻找弱点最有效 ( 如白盒 vs 黑盒 )? • 安全代码复查时发现多少安全问题 ? • 安全设计复查时发现多少安全问题 ? 为了根据测试数据做正确判断 , 很好地理解测试过程和测试工具很重要。应该采用工具分类学决定应该使用哪些安全工具。合格的安全工具擅长于在不同的产品中发现普通的已知弱点。问题是未知的安全问题没有被检测到 : 事实上 , 干净的测试结果并不能表示的的软件产品或应用程序是没有漏洞的。一些研究 [22] 显示 , 最好工具可能发现整体漏洞中的 45%。即使是最复杂的自动化工具也不是一位老练的安全测试者的对手 : 仅仅依靠从自动化工具中获得的成功的测试结果将给安全实习生对安全问题产生错感。一般 , 拥有安全测试的方法学和测试工具的越有经验的测试者 , 获得的安全分析和测试的结果更准确。管理层在安全测试工具方面的投资和雇佣有经验的人力资源和安全测试培训被认为是同等重要的。报告要求应用程序的安全状态可以从效果方面的透视描绘 , 例如弱点数量和弱点的风险等级 ; 也可以从起因方面透视 ( 即根源 ), 例如编码错误、构造缺点和配置问题。 37
Page 1 and 2: OWASP 测试指南 2008 V3.0 致
Page 3 and 4: OWASP 测试指南 v3.0 4 WEB
Page 5 and 6: OWASP 测试指南 v3.0 4.8.5.1
Page 7 and 8: OWASP 测试指南 v3.0 前言
Page 9 and 10: OWASP 测试指南 v3.0 第一
Page 11 and 12: OWASP 测试指南 v3.0 1. 首
Page 13 and 14: OWASP 测试指南 v3.0 • Vice
Page 15 and 16: OWASP 测试指南 v3.0 结构
Page 17 and 18: OWASP 测试指南 v3.0 2. 导
Page 19 and 20: OWASP 测试指南 v3.0 图 1:
Page 21 and 22: OWASP 测试指南 v3.0 了解
Page 23 and 24: OWASP 测试指南 v3.0 • 无
Page 25 and 26: OWASP 测试指南 v3.0 渗透
Page 27 and 28: OWASP 测试指南 v3.0 许多
Page 29 and 30: OWASP 测试指南 v3.0 安全
Page 31 and 32: OWASP 测试指南 v3.0 • 用
Page 33 and 34: OWASP 测试指南 v3.0 1) 密
Page 35: OWASP 测试指南 v3.0 单位
Page 39 and 40: OWASP 测试指南 v3.0 [23]。
Page 41 and 42: OWASP 测试指南 v3.0 3. OWASP
Page 43 and 44: OWASP 测试指南 v3.0 • 问
Page 45: OWASP 测试指南 v3.0 第 5
Page 48 and 49: 下面的参数两种方式
Page 50 and 51: OWASP-AT-005 Testing for bypassing
Page 52 and 53: 拒绝服务测试 OWASP-DS-00
Page 54 and 55: 4.2.1 测试 : 蜘蛛 , 机器
Page 56 and 57: 4.2.2 搜索引擎发现 / 侦
Page 58 and 59: 灰盒测试灰盒测试与
Page 60 and 61: 这个例子展示了通过
Page 62 and 63: 确定 web 服务器最简单
Page 64 and 65: ETag: 32417-c4-3e5d8a83 Accept-Rang
Page 66 and 67: Content-length: 0 Content-type: tex
Page 68 and 69: 参考白皮书工具 • Sau
Page 70 and 71: 有三个因素影响了在
Page 72 and 73: Escape character is '^]'. GET / HTT
Page 74 and 75: tomDNS: http://www.tomdns.net/ (som
Page 76 and 77: Microsoft OLE DB Provider for ODBC
Page 78 and 79: 这意味着 , 自定义 IIS
Page 80 and 81: 4.3.3 基础结构配置管
Page 82 and 83: [root@test]# Example 2. 使用 Nes
Page 84 and 85: Ay+7EleYWPOo+EST315QLpU6pQgblgobGoI
Page 86 and 87:
警告。我们正在访问
Page 88 and 89:
4.3.2 数据库监听测试 (
Page 90 and 91:
User name OUTLN DBSNMP BACKUP MONIT
Page 92 and 93:
• Oracle Database Listener Securi
Page 94 and 95:
如 , 根据报头日期 , 如
Page 96 and 97:
4.3.4 应用配置管理测
Page 98 and 99:
日志中的敏感信息有
Page 100 and 101:
Lotus Domino • Lotus Security Han
Page 102 and 103:
• .bak, .old 和其它表示
Page 104 and 105:
• 在某些情况下 , 复
Page 106 and 107:
基本猜测攻击应该针
Page 108 and 109:
在许多情况下 , 这种
Page 110 and 111:
• CONNECT: 此方法可让
Page 112 and 113:
使浏览器发送 TRACE 请
Page 114 and 115:
灰盒测试实例灰盒测
Page 116 and 117:
性 , 但是这个问题将
Page 118 and 119:
User=test&Pass=test&portal=ExampleP
Page 120 and 121:
无效的用户 / 错误密
Page 122 and 123:
http://www.foo.com/account1 - we re
Page 124 and 125:
4.4.3 默认或可猜解 ( 遍
Page 126 and 127:
预期结果 : 对所测试
Page 128 and 129:
o o basic 接入认证 digest
Page 130 and 131:
esponse="2275a9ca7b2dadf252afc79923
Page 132 and 133:
执行内存权衡攻击 ,
Page 134 and 135:
另一个和验证设计有
Page 136 and 137:
下面的图标表明 , 通
Page 138 and 139:
或者 ( 或除此之外 ) ,
Page 140 and 141:
4.4.7 注销和浏览器缓
Page 142 and 143:
或者 , 我们可以在浏
Page 144 and 145:
• Internet Explorer: o C:\Documen
Page 146 and 147:
查看是否类似 CAPTCHAs
Page 148 and 149:
Web 应用最常见的认证
Page 150 and 151:
定制的 “ 随机产生并
Page 152 and 153:
另一个例子是 OWASP 的 W
Page 154 and 155:
4.5.1 会话管理模式测
Page 156 and 157:
• 应用的哪一部分产
Page 158 and 159:
1. 不可预测性 : 一个 Co
Page 160 and 161:
Cookie 明文认证实例例
Page 162 and 163:
m, q, s, u, y, z vgnvisitor False 2
Page 164 and 165:
问题描述安全使用 Coo
Page 166 and 167:
• Expires 属性 —— 如果
Page 168 and 169:
Cookie: JSESSIONID=0000d8eyYq3L0z2f
Page 170 and 171:
每一次认证成功 , 用
Page 172 and 173:
4.5.5 CSRF 测试 (OWASP-SM-005)
Page 174 and 175:
... 当显示此网页时 ,
Page 176 and 177:
或通过一个链接直接
Page 178 and 179:
• Oldest known post - http://www.
Page 180 and 181:
• 是否存在有趣的变
Page 182 and 183:
lang:php (include|require)(_once)?\
Page 184 and 185:
例如 , 分析使用一个
Page 186 and 187:
测试应核实执行特权
Page 188 and 189:
理帐户、不同权限的
Page 190 and 191:
o 什幺是整个群的政
Page 192 and 193:
• 一旦 SIM 卡被 “ 转移
Page 194 and 195:
ORM 注入测试同样类似
Page 196 and 197:
攻击者通常会利用这
Page 198 and 199:
由于大多数的客户端
Page 200 and 201:
4.8.2 存储式跨站脚本
Page 202 and 203:
确保通过应用程序提
Page 204 and 205:
alert(document.cookie) Internet Exp
Page 206 and 207:
• WebScarab WebScarab is a framew
Page 208 and 209:
此外 , 许多在过去导
Page 210 and 211:
例如 : movieClip 328 __Packages.
Page 212 and 213:
flash.external.ExternalInterface.ca
Page 214 and 215:
工具 • SWFIntruder: https://ww
Page 216 and 217:
类似上面例子中的完
Page 218 and 219:
通过使用推理方法 ,
Page 220 and 221:
答 : 存储过程。我多
Page 222 and 223:
• Bernardo Damele and Daniele Bel
Page 224 and 225:
Oracle-Application-Server-10g/10.1.
Page 226 and 227:
绕过排除清单 - 方法 2
Page 228 and 229:
24 inject'point; .. 这会在错
Page 230 and 231:
参考白皮书 • Hackproofin
Page 232 and 233:
MySQL 服务器存在一个
Page 234 and 235:
..[skipped].. ..[skipped].. SCHEMAT
Page 236 and 237:
• 基于时间的盲注 :BE
Page 238 and 239:
成功执行将创建一个
Page 240 and 241:
DECLARE @result int, @OLEResult int
Page 242 and 243:
获取不显示的信息 (
Page 244 and 245:
例 9: 暴力破解管理密
Page 246 and 247:
为了枚举查询的属性
Page 248 and 249:
小技巧有时一些过滤
Page 250 and 251:
* ascii(n): 返回对应字符
Page 252 and 253:
PostgreSQL 通过使用动态
Page 254 and 255:
• 创建一个 proxyshell 函
Page 256 and 257:
searchfilter="(cn="+user+")" 实
Page 258 and 259:
灰盒检测实例如果检
Page 260 and 261:
gandalf !c3 0 gandalf@middle
Page 262 and 263:
是有效的形成 , 体现
Page 264 and 265:
]>&xxe; ]>&xxe; 这些检测
Page 266 and 267:
这样一来 , 原来的 useri
Page 268 and 269:
alert("XSS") 当下次服务
Page 270 and 271:
如下 XPath 查询将返回
Page 272 and 273:
辨认漏洞参数为了查
Page 274 and 275:
确认所有存在漏洞的
Page 276 and 277:
4.8.12 代码注入 (OWASP-DV-01
Page 278 and 279:
http://sensitive/cgi-bin/userData.p
Page 280 and 281:
灰盒检测过滤 URL 和表
Page 282 and 283:
上图显示的两个寄存
Page 284 and 285:
工具 • OllyDbg: "A windows bas
Page 286 and 287:
如调试器的寄存器窗
Page 288 and 289:
• Aleph One: "Smashing the Stack
Page 290 and 291:
另外 , 当同一段代码
Page 292 and 293:
• 首先攻击媒介需要
Page 294 and 295:
渗透测试者在服务器
Page 296 and 297:
Date: Sun, 03 Dec 2005 16:22:19 GMT
Page 298 and 299:
该案例中请求 #1 包含
Page 300 and 301:
这条语句在一个拥有
Page 302 and 303:
概述第一种 DoS 情况是
Page 304 and 305:
灰盒测试请参照指南
Page 306 and 307:
如果怀疑应用程序中
Page 308 and 309:
} calStmt.executeUpdate(); calStmt.
Page 310 and 311:
4.10.1 WS 信息收集 (OWASP-WS
Page 312 and 313:
在这个 XML 文件里我
Page 314 and 315:
UDDI Browser UDDI 浏览器有
Page 316 and 317:
Italy Roma 创建一个不
Page 318 and 319:
这里我们看到调用了
Page 320 and 321:
987654321 987654321 WSDigger WSDi
Page 322 and 323:
例 2: 回到下面的 WS 例
Page 324 and 325:
二进制附件 Web 服务器
Page 326 and 327:
minInclusive: 指定数字值
Page 328 and 329:
执行任意代码用来安
Page 330 and 331:
概述二进制文件包括
Page 332 and 333:
预期结果 : EICAR 测试病
Page 334 and 335:
1. Web 服务是否使用某
Page 336 and 337:
其次 , 在一个非 SSL 连
Page 338 and 339:
阻断服务攻击是一个
Page 340 and 341:
黑盒测试实例测试 AJA
Page 342 and 343:
从现在起 , XMLHttpRequest
Page 344 and 345:
参考 OWASP • AJAX 安全工
Page 346 and 347:
• 步骤 5: 决定需要修
Page 348 and 349:
技术影响可以分解为
Page 350 and 351:
接着 , 我们需要指出
Page 352 and 353:
5.2 如何书写这个测试
Page 354 and 355:
OWASP-AT-007 注销和浏览
Page 356 and 357:
这部分常用于描述评
Page 358 and 359:
SSL 测试 • Toad for Oracle - h
Page 360 and 361:
• HttpUnit - http://httpunit.sour
Page 362 and 363:
• OASIS WAS XML — http://www.oa
Page 364 and 365:
缓冲区溢出或者内存
Page 366 and 367:
%27+OR+%277659%27%3D%277659 %22+or+
Page 368 and 369:
x'+or+1=1+or+'x'='y / // //* */* @*
Page 370 and 371:
例如一个用以保护单
show all

OWASPæµè¯æå

Create successful ePaper yourself

Delete template?

Save as template?

OWASPæµè¯æå