1. 安全测试
1.1. web安全测试
web应用
- 由动态脚本、编译过的代码组合而成
- 通常架设在web服务器上,用户通过浏览器交互
- 用户请求使用HTTP协议,由web应用和企业后台数据库进行交互
web应用架构
1.2. 生活中的安全
- 网站登录的验证码
- 网站的session
- 网站的https
比如拥挤的沙河地铁
北京地铁拥堵厉害,容易发生安全问题,如果是你,有什么办法可以解决?
- ….
- ….
1.3. 从WASC和OWASP谈漏洞
WASC(Web Application Security Consortium)
- 由一个安全专家,行业顾问和诸多组织的代表组成的国际团体,他们负责为WWW制定广泛为人接收的安全标准。
WASC讲Web应用安全威胁分为六大类:
- Authtication(验证):用来确认用户、服务或是应用身份的攻击手段
- Authorization(授权):用来决定是否某用户、服务或是应用具有
执行请求动作必要权限的攻击手段 - Client-Side Attacks(客户测攻击):用来扰乱或是探测Web站点用户的攻击手段
- Command Execution(命令执行):在Web站点上执行远程命令的攻击手段
- Information Disclosure(信息暴露):用来获取Web站点具体系统信息的攻击手段
- Logical Attacks(逻辑性攻击):用来扰乱或是探测Web应用逻辑流程的攻击手段
OWASP(Open Web Application Security Project)
- 致力于发现和解决不安全Web应用的根本原因
此安全项目发现的Top10漏洞
- 注入
- 失效的身份认证和会话管理
- 跨站脚本
- 失效的访问控制
- 安全配置错误
- 敏感信息泄露
- 跨站请求伪造
- 使用含有已知漏洞的控件
- 攻击检测和防范不足
- 未受保护的APIs
1.4. Web安全测试流程
1.5. 安全审计
APPSCAN
自动化审计攻击
随着安全测试的开展和深入,越来越多的公司开始采用安全测试的手段,由于测试人员的能力和时间等因素,更多的采取诸如AppScan、WebInspect等安全审计工具
安全审计工具的使用的确给安全测试的开展节省了大量时间,但也会带来各种问题
APPSCAN在项目团队中的协作
开发人员
开发人员在开发过程中可以使用AppScan或专用插件,随时开发随时测试,最大化的保证个人开发程序的安全性。越早发现问题,解决问题的成本就越低,这为Web应用的安全提供了最为坚实的基础保障。
测试人员
系统测试时测试人员用AppScan对应用做全面的测试,一旦发现问题,可以快速的生成defect,通过CQ集成可以实现defect电子化跟踪,再传递到开发人员手中,指导开发人员迅速解决问题
审核人员
这是系统上线前的安全质量关卡。任何系统上线都英国经过严格的上线测试,这也最大化的减少了上线后问题的出现,避免生产系统上线后给企业带来的巨额损失。
监控人员
上线的系统应该定期检测,一旦出现问题更应该及时检测,越快速的定位发现问题,损失就会越小。
AppScan扫描范围
Web应用、第三方组件、Web服务器配置、Web服务器、数据库
其他层面
应用、操作系统、网络
1.6. 探测阶段
探测、测试、扫描
探测阶段
探测过程中,所采用的测试策略可以选择默认的或自定义的,可采用不同的测试策略,测试策略库是Appscan内置的,它可以定义为你想要的组合,检测你最想检测的安全隐患。
模仿一个用户对访问的Web应用进行探测访问,通过发送请求对站点内的链接与表单进行访问或填写,以获得站点信息。
Appscan分析器将会对自己发送的每一个请求后的响应做出判断,查找出任何可能存在风险的地方,并针对这些银行风险的响应,确定将要自动生成的测试用例。