來這家公司快四個月了,現(xiàn)在對這四個月的工作做一個總結(jié)。挖過越權(quán)漏洞、低價買服務(wù)漏洞、未鑒權(quán)的接口、CSRF漏洞、軟件升級未做校驗、組件暴露等漏洞,主要是業(yè)務(wù)方面的。下面我首先針對越權(quán)漏洞說下測試方法:
目前創(chuàng)新互聯(lián)已為近千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站改版維護、企業(yè)網(wǎng)站設(shè)計、改則網(wǎng)站維護等服務(wù),公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。
大家可能對用戶信息又疑問,下面我舉例來說明用戶信息:譬如A用戶的訂單號是唯一的,B用戶刪除自己的訂單時,把自己的訂單號改為A的,如果有越權(quán)漏洞,那么B用戶就刪除了A用戶的訂單。
限于公司保密需要,我找?guī)讉€ 烏云 的漏洞來說明下,沒有的我就單獨說明。
從數(shù)據(jù)包中,我們可以看到addr_id是唯一標(biāo)識用戶地址的,服務(wù)器并沒有去做判斷用戶是否有權(quán)限操作,導(dǎo)致了越權(quán)漏洞。諸如此類的還有保單信息、醫(yī)療保險等信息。這種改id號的最為初級的,也是最容易發(fā)現(xiàn)的越權(quán)漏洞。下面來看個進階版。
測試環(huán)境:
一次測試過程中,發(fā)現(xiàn)獲取用戶信息的時候要提交自己的用戶名,假設(shè)是XML文件:
我嘗試改為
發(fā)現(xiàn)沒有權(quán)限獲取信息。怎么辦呢?想到XML文件解析時,可能解析所有的節(jié)點,那么我同時提交兩者的用戶名:
即可得到B用戶的信息。
一、服務(wù)器測試方法分為兩個大方面,性能測試與功能測試。
在性能測試方面采用了新的測試方法,主要分為文件測試、數(shù)據(jù)庫性能測試與Web性能測試三個方面。其中,文件性能與數(shù)據(jù)庫性能采用美國Quest軟件公司的Benchmark Factory負載測試和容量規(guī)劃軟件,Web性能測試則使用了Spirent公司提供的Caw WebAvalanche測試儀。
檢測網(wǎng)站的安全漏洞方式分為兩種:①使用安全軟件進行網(wǎng)站安全漏洞檢測、②使用滲透測試服務(wù)進行安全漏洞檢測。
1、使用安全軟件進行網(wǎng)站安全漏洞檢測
使用檢測網(wǎng)站安全漏洞我們可以選擇安全軟件進行,安全軟件可以對我們的網(wǎng)站和服務(wù)器進行體驗,找出我們服務(wù)器以及網(wǎng)站的漏洞并且可以根據(jù)安全漏洞進行修復(fù)。
2、使用滲透測試服務(wù)進行安全漏洞檢測
滲透測試是利用模擬黑客攻擊的方式,評估計算機網(wǎng)絡(luò)系統(tǒng)安全性能的一種方法。這個過程是站在攻擊者角度對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞進行主動分析,并且有條件地主動利用安全漏洞。
滲透測試并沒有嚴(yán)格的分類方法,即使在軟件開發(fā)生命周期中,也包含了滲透測試的環(huán)節(jié),但是根據(jù)實際應(yīng)用,普遍認為滲透測試分為黑盒測試、白盒測試、灰盒測試三類。
①黑箱測試又被稱為所謂的Zero-Knowledge
Testing,滲透者完全處于對系統(tǒng)一無所知的狀態(tài),通常這類型測試,最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。
②白盒測試與黑箱測試恰恰相反,測試者可以通過正常渠道向被測單位取得各種資料,包括網(wǎng)絡(luò)拓撲、員工資料甚至網(wǎng)站或其它程序的代碼片段,也能夠與單位的其它員工進行面對面的溝通。
③灰盒測試,白+黑就是灰色,灰盒測試是介于上述兩種測試之間的一種方法,對目標(biāo)系統(tǒng)有所一定的了解,還掌握了一定的信息,可是并不全面。滲透測試人員得持續(xù)性地搜集信息,并結(jié)合已知信息從中將漏洞找出。
但是不管采用哪種測試方法,滲透測試都具有以下特點:
(1)滲透測試是一個漸進的并且逐步深入的過程;
(2)滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運行的攻擊方法進行的測試。
網(wǎng)站欄目:服務(wù)器安全測試方法 服務(wù)器安全測試方法有哪幾種
分享路徑:http://m.newbst.com/article16/ddshegg.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站、關(guān)鍵詞優(yōu)化、網(wǎng)站設(shè)計公司、品牌網(wǎng)站建設(shè)、用戶體驗、搜索引擎優(yōu)化
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)