马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
1.
应用配置管理测试 主要是测试组成应用程序体系结构的各个单元是否做了正确的配置,已防止出现损坏整个体系结构安全的错误。 测试项目: a.
已知的文件和目录 检查部署的web服务器是否提勾了默认安装的实例文件和程序,提供的实例文件和程序是否有已知的漏洞可以利用。可利用CGI扫描器进行扫描,CGI扫描器中会包括详细的已知文件和目录的清单,例如:nikto工具。 b.
审核注释 审查web服务器返回的静态和动态内容,确认没有泄露敏感信息。可利用wget工具对被测应用做镜像,以待检查。 c.
配置审核 主要是审查部署的web服务器是否有常规的配置错误,可参照以下公用准则进行审查: c.1 确定只启动应用程序需要的服务器模块。 c.2 使用定制网页而不是使用默认的web服务器的网页处理程序错误(400,500等)。使用默认的网页处理程序,可能会泄露当前服务器版本及数据库等敏感信息。 c.3 确保服务器软件在操作系统中以最小权限运行。 c.4 确保服务器软件可以正确记录合法登录和错误。 c.5 确保服务器的配置可以妥善处理超载,并能防止拒绝服务攻击。 c.6 确保服务器已进行适当的性能调整。 d.
对服务器/应用程序日志的审查 d.1 确定日志中是否包含敏感信息,如个人资料,管理员登录信息等。 d.2 确定日志是存放在单独的位置,而不是在web服务器本身。 d.3 确定日志的存储是否会造成拒绝服务攻击,即对日志的写操作会填满整个文件系统,导致服务器无法正常响应请求。 d.4 确定循环使用日志的配置是否正确。 d.5 正确的日志记录应该是在分析日志时即能确定正常的文件操作,也能确定web服务器是否发生可攻击。例如:大量的来自同一IP的40X错误,可能表明服务器曾遭受了cgi扫描器的攻击。 d.6 日志的统计和分析不应该在产生日志的同一台服务器上生成并存储。 2.
文件扩展名、过时的、用于备份的以及未被引用的文件的处理测试 不提供服务的包含敏感信息泄露的文件扩展名,不应该被返回和下载,可以利用漏洞扫描工具进行检查,或者利用镜像工具wget等。 使用自动或者手动的技术,对未被引用的文件进行测试,主要针对未被引用文件中是否包含敏感信息;是否包含在新版本总修复的漏洞;利用脆弱性扫描工具可有效针对此类问题进行检测。 3.
基础结构和应用管理界面 利用常规推测;应用泄露的敏感信息等发现应用管理入口,并对管理界面进行蛮力攻击,及绕过验证等测试。 4.
HTTP方法和XST(跨站点跟踪)测试 测试web服务器提供的HTTP方法,及是否可造成xst攻击。 Request-URI是一个统一资源标识符即URL。 HTTP方法: l
GET
请求获取Request-URI所标识的资源 l
POST
在Request-URI所标识的资源后附加新的数据 l
HEAD
请求获取由Request-URI所标识的资源的响应消息报头 l
PUT
请求服务器存储一个资源,并用Request-URI作为其标识 l
DELETE
请求服务器删除Request-URI所标识的资源 l
TRACE
请求服务器回送收到的请求信息,主要用于测试或诊断 l
CONNECT 保留将来使用 l
OPTIONS 请求查询服务器的性能,或者查询与资源相关的选项和需求 测试步骤: 8.1 利用nc 测试地址 80 利用OPTIONS方法,测试请求资源允许使用的方法 8.2 如果web服务器返回的内容信息允许trace方法,则被测站点则可能会遭受XST(跨站点跟踪)攻击。 8.3 利用nc测试任意的HTTP方法,可用bash或批处理定制自动化任务。 |