文档介绍:系统平安测试报告
国信嘉宁数据技术有限公司
XXX 系统
平安测试报告
创建人 :xxx
创建时间:xxxx 年 xx 月 xx 日
确认时间:
当前版本:
文档变更记录
、测试环境等,主要是测试状况简介。
测试范围
请在此处说明此次测试的测试范围,可以参考平安测试方案中描述的测试范围。
测试方法和测试工具
简要介绍测试中接受的方法和工具
示例:
Xxx 系统主要使用了输入平安、访问把握平安、认证与会话管理、缓冲区溢出、拒绝服务、担忧全的配置管理、注入式漏洞等平安测试方案。针对以上供应的测试方案进行对应的测试用例和测试脚本编写,并使用 Websecurify 作为测试工具。
验证输入平安
Xxx 系统主要对没有被验证的输入进行如下测试
数据类型(字符串,整型,实数,等)、允许的字符集、最小和最大的长度、是否允许空输入、参数是否是必需的、重复是否允许、数值范围、特定的值(枚举型)、特定的模式(正则表达式)
访问把握平安
需要验证用户身份以及权限的页面,复制该页面的 url 地址,关闭该页面以后,查看是否可以直接进入该复制好的地址
例:从一个页面链到另一个页面的间隙可以看到 URL 地址直接输入该地址,可以看到自己没有权限的页面信息
系统平安测试报告
6 / 10
认证与会话管理
例:对 Grid、Label、Tree view 类的输入框未做验证,输入的内容会依据
html 语法解析出来
缓冲区溢出
没有加密关键数据
例:view-source:http 地址可以查看源代码
在页面输入密码,页面显示的是 *****, 右键,查看源文件就可以观察刚才输入的密码。
拒绝服务
分析:攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪。需要做负载均衡来应付。
担忧全的配置管理
分析:Config 中的链接字符串以及用户信息,邮件,数据存储信息都需要加以爱护
程序员应当作的: 配置全部的平安机制,关掉全部不使用的服务,设置角色权限帐号,使用日志和警报。
分析:用户使用缓冲区溢出来破坏 web 应用程序的栈,通过发送特殊编写的代码到 web 程序中,攻击者可以让 web 应用程序来执行任意代码。
注入式漏洞
例:一个验证用户登陆的页面, 假如使用的 sql 语句为:
Select * from table A where username=’’ + username+’’ and pass word …..
Sql 输入 ‘ or 1=1 ―― 就可以不输入任何 password 进行攻击或者是半角状态下的用户名与密码均为:‘or’‘=’。
不恰当的特别处理
分析:程序在抛出特别的时候给出了比较具体的内部错误信息,暴露了不应当显示的执行细节,网站存在潜在漏洞。
担忧全的存储
分析:帐号列表:系统不应当允许用户扫瞄到网站全部的帐号,假如必需要一个用户列表,推举使用某种形式的假名(屏幕名)来指向实际的帐号。
扫瞄器缓存:认证和会话数据不应当作为 GET 的一部分来发送,应当使用
POST。
跨站脚本(XSS)
分析