安全测试笔记03
1.应用配置管理测试主要是测试组成应用程序体系结构的各个单元是否做了正确的配置,已防止出现损坏整个体系结构安全的错误。测试项目:a.
已知的文件和目录检查部署的web服务器是否提勾了默认安装的实例文件和程序,提供的实例文件和程序是否有已知的漏洞可以利用。可利用CGI扫描器进行扫描,CGI扫描器中会包括详细的已知文件和目录的清单,例如:nikto工具。b.
审核注释审查web服务器返回的静态和动态内容,确认没有泄露敏感信息。可利用wget工具对被测应用做镜像,以待检查。c.
配置审核主要是审查部署的web服务器是否有常规的配置错误,可参照以下公用准则进行审查:c.1 确定只启动应用程序需要的服务器模块。c.2 使用定制网页而不是使用默认的web服务器的网页处理程序错误(400,500等)。使用默认的网页处理程序,可能会泄露当前服务器版本及数据库等敏感信息。c.3 确保服务器软件在操作系统中以最小权限运行。c.4 确保服务器软件可以正确记录合法登录和错误。c.5 确保服务器的配置可以妥善处理超载,并能防止拒绝服务攻击。c.6 确保服务器已进行适当的性能调整。d.
对服务器/应用程序日志的审查d.1 确定日志中是否包含敏感信息,如个人资料,管理员登录信息等。d.2 确定日志是存放在单独的位置,而不是在web服务器本身。d.3 确定日志的存储是否会造成拒绝服务攻击,即对日志的写操作会填满整个文件系统,导致服务器无法正常响应请求。d.4 确定循环使用日志的配置是否正确。d.5 正确的日志记录应该是在分析日志时即能确定正常的文件操作,也能确定web服务器是否发生可攻击。例如:大量的来自同一IP的40X错误,可能表明服务器曾遭受了cgi扫描器的攻击。d.6 日志的统计和分析不应该在产生日志的同一台服务器上生成并存储。 2.
文件扩展名、过时的、用于备份的以及未被引用的文件的处理测试不提供服务的包含敏感信息泄露的文件扩展名,不应该被返回和下载,可以利用漏洞扫描工具进行检查,或者利用镜像工具wget等。使用自动或者手动的技术,对未被引用的文件进行测试,主要针对未被引用文件中是否包含敏感信息;是否包含在新版本总修复的漏洞;利用脆弱性扫描工具可有效针对此类问题进行检测。3.
基础结构和应用管理界面利用常规推测;应用泄露的敏感信息等发现应用管理入口,并对管理界面进行蛮力攻击,及绕过验证等测试。4.
HTTP方法和XST(跨站点跟踪)测试测试web服务器提供的HTTP方法,及是否可造成xst攻击。Request-URI是一个统一资源标识符即URL。HTTP方法:l
GET
请求获取Request-URI所标识的资源l
POST
在Request-URI所标识的资源后附加新的数据l
HEAD
请求获取由Request-URI所标识的资源的响应消息报头l
PUT
请求服务器存储一个资源,并用Request-URI作为其标识l
DELETE
请求服务器删除Request-URI所标识的资源l
TRACE
请求服务器回送收到的请求信息,主要用于测试或诊断l
CONNECT 保留将来使用l
OPTIONS 请求查询服务器的性能,或者查询与资源相关的选项和需求测试步骤:8.1 利用nc 测试地址 80 利用OPTIONS方法,测试请求资源允许使用的方法8.2 如果web服务器返回的内容信息允许trace方法,则被测站点则可能会遭受XST(跨站点跟踪)攻击。8.3 利用nc测试任意的HTTP方法,可用bash或批处理定制自动化任务。 步骤很详细了,支持原创。
曾经考虑要否提供一些测试工具下载
但是貌似现在管理很严
有时候想找个nc都得找好几个网站才能下到 好好学习:loveliness: 还可以啊,我什么时候写点东西。 不提供下载,可以提供下载链接嘛:lol 不提供下载,可以提供下载链接嘛:lol 谢谢楼主!
页:
[1]