安全测试

安全测试用例

常见的安全测试应该能够做到check以下内容

• 测试用例应该 包含每个HTTP参数的SQL注入测试
• 测试用例应该 包含每个HTTP参数的XSS测试
• 测试用例应该 检测到文件包含(File Inclusion，使用HTTP参数传递文件路径或文件名)直接判定为不通过
• 测试用例应该 包含不同角色交换链接的权限测试，链接为对方无权访问的链接
• 测试用例应该 包含上传网页木马的测试，如WEB应用提供上传功能(头像图片，文件等)
• 测试用例应该 包含检测可能导致信息泄漏的冗余备份文件，包括zip/tar/tar.gz等
• 客户端软件发布前应该检测数字签名

网络安全测试操作指导及测试用例

Web安全高危漏洞测试

• 准备工作
• SQL注入测试
• XSS测试
• 文件上传测试
• 重要Form的CSRF测试
• Path Manipulation测试
• File Include漏洞
• 业务逻辑缺陷
• 跨角色授权测试
• Live HTTP headers用法
• Paros用法

安全测试技能矩阵

漏洞和方法比较多，现列出来以下几项常见的安全类型和

注入

1. SQL注入

   1. Boolean-based blind 基于布尔值 的盲注
   2. Time-based blind 基于时间 的盲注
   3. Error-based 基于报错注入
   4. UNION query-based 联合查询注入
   5. Stacked queries 堆查询注入
      ps: 以上几种注入是sqlmap可完成的注入类型

2. 框架注入

   1. 如iframe框架注入

3. 链接注入

   1. 在跳转链接中注入

4. 命令注入（常见PHP，难度较高暂时忽略）

XSS

1. 普通反射型
2. 存储型
3. 基于DOM
4. 基于Flash

URL跳转漏洞

1. 信息泄露、上传漏洞、代码执行
2. CSRF

---

Sqlmap简介

SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,具有强大的检测引擎。完全支持MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB and Informix

详细可参见

利用此工具，利用tornado WEB框架，开发了一个前端页面

项目地址：http://gitlab.xxx.cn/testing/security  
部署地址：http://10.10.10.24:8080/urlfile  
环境：ssh root@10.10.10.24 密码：xxxxxx 
路径在：/usr/local/SecurityCheck/Sqlcheck  

执行命令(前端上传文件时，也会执行此命令)

python /usr/local/SecurityCheck/Sqlcheck/sqlmap-dev/sqlmap.py -u "https://agent-xxx-ssl.xxxx.com/test/orderInfo?key=xxx&id=21112170800068207" --batch -v 0 --dbms "MYSQL" --output-dir /usr/local/SecurityCheck/Sqlcheck/output

命令简介

-u 被检测url要带上“”号
--batch 防止多次询问数据库
-v 0 level0,只展示0级别的提示
--dbms 指定数据库类型，如果不指定，则全部数据库会尝试一遍，带上“”号
--output-dir 指定检测结果存放目录，如果未指定则会存放到用户所在目录下的.sqlmap/output目录下，如linux为/root/.sqlmap/output，mac上为/Users/xxx/.sqlmap/output

---

检测工具原理

-1. 导入待检测的txt文档，点击提交
-2. 程序会在8080端口监听事件，将上传的文件读取重新写入到当前目录SecurityCheck/Sqlcheck下
-3. 执行python内置命令行命令，利用sqlmap对文件中的url提取进行扫描
-4. SQLMAP注入成功，在output输出一个文件夹，文件夹名是被检测的域名，文件夹中其中有3个文件

* log  
* session.sqlite  
* target.txt  

未发现注入时，log文件为空，不会写入；   
发现有注入漏洞时，向log文件中输出的详细注入类型

范例如下：

sqlmap identified the following injection point(s) with a total of 58 HTTP(s) requests:
Parameter: uid (GET) Type: boolean-based blind Title: MySQL >= 5.0 boolean-based blind - Parameter replace Payload: uid=(SELECT (CASE WHEN (8841=8841) THEN 8841 ELSE 8841*(SELECT 8841 FROM INFORMATION_SCHEMA.PLUGINS) END))

Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind
Payload: uid=100 AND SLEEP(5)
web application technology: Apache 2.4.16, PHP 5.5.30 back-end DBMS: MySQL >= 5.0

-5. 程序根据sqlmap扫描结果输出文件log的MD5值来作出判断，如果md5值有变化，则认为扫描结果存在SQL注入

-6. 最终输出json结果

{"data": [{"url": "http://xxx.xxxx.com/vpay/qrcode?version=v1.0&sessionid=E356BFDB84422F76AA212D3245BFAEC078A833BE8F25B74A22DFBB541DE9B0D8F2D3B0F6FFD2AD85EA5601812A2A0F39D3D1CC5DB68175B6F5E8DA9344FCDF46&userid=2561118948&opid=web&activeid=001&bizno=jo&num=5&rmb=1&ext2=x&ext3=y&mref=1&referfrom=1&aidfrom=1&_v=1476424488", "domain": "xxx.xxxx.com", "code": 0},"rtn_code": 0}

rtn_code：0本次检测结果，安全
rtn_code：1本次检测结果，存在注入漏洞

code:0此url，安全
code:1些url,存在注入漏洞的url

待解决的问题

1. 处理等待超时的问题，sqlmap不会有超时，会一直等待，此时要主动停止等待的url的单次任务

• 处理字段为空的情况，应该要加上--union-char
• 单线程
• 浏览器打印出来的json，&reg被转成了®