网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以戳这里获取
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
测试方法:
打开登陆页面(或者待测试页面),点击浏览器邮件,查看源代码,检查源代码注释部分是否有敏感信息泄露,敏感信息包括以下内容:字段文字描述、内网 IP 地址、SQL 语句以及物理路径等等。
修改建议:
请勿在HTML 注释中遗留任何重要信息(如文件名或文件路径)。
从生产站点注释中除去以前(或未来)站点链接的跟踪信息。
避免在HTML 注释中放置敏感信息。
确保HTML 注释不包括源代码片段。
4.3 用户名破解
为了进行暴力破解,攻击者需要知道已存在的用户名,再对该用户名进行攻击。
测试方法:
在登录界面输入不存在的用户名和任意的口令,如果提示用户名不存在,则说明存在漏洞;使用正确的用户名和错误的口令进行登录,如果提示口令或密码错误,则说明存在漏洞。
修改建议:
服务器对所有的登陆错误原因进行统一的应答,不会提示准确的错误提示信息。
4.4
在缺少锁定策略和验证码设计有问题的情况下,攻击者可以通过枚举的方式来进行暴力猜解。
测试方法:
在登录页面,输入正确的用户名、错误的口令以及正确的验证码,提交表单,重复10
次,如果系统没有返回类似账号锁定的信息,则说明存在漏洞。
修改建议:
在用户进行错误登录次数达到系统配置后,需要对该账号或者该IP进行临时锁定,到达解锁条件后再进行解锁。
4.5
查看是否有验证码机制,以及验证码机制是否完善,避免使用自动化工具重复登录和进行业务操作。
测试方法:
打开登陆页面查看是否存在验证码,如果不存在说明存在漏洞。
输入正确的用户名和口令以及错误的验证码,如果只是提示验证码错误,则说明存在漏洞。
选择验证码,点击右键,验证码是图片形式且在一张图片中,如果不是,则说明存在漏洞。
观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞。
修改建议:
将验证码生成放在在一张进行了混淆处理的图片上。
4.6
测试方法:
进入系统的口令修改界面,查看是否必须输入旧口令,如果不需要则存在漏洞。
修改建议:
用户修改密码时必须提供旧密码,且新密码不能与旧密码相同,密码要有一定复杂度,参见口令规则建议。
4.7 默认账户名称设置
一般系统均设有默认登录用户,以及超级管理员账号,如登录账号过于简单将易被破解,造成超级权限泄露。
修改建议:
上线系统清除超级管理员权限用户,或增加超级管理员登录名复杂度,不要设置成易猜测的admin、superadmin等名称。
4.8 错误的页面信息
404、500等错误或警告消息,可能会泄露敏感信息。
修改建议:
捕获异常跳转至统一错误页面,避免对外泄漏详细错误信息。
5.会话管理测试未更新
5.1会话标识测试
查看登录成功后会话标识是否变更。如果未变更,那么攻击者就可以通过一些手段(如构造URL)为受害着确定一个会话标识,当受害者登录成功后,攻击者也可以利用这个
会话标识冒充受害者访问系统。
测试方法:
启动抓包工具或浏览器自带开发者模式打开登录页面,输入正确的用户名、口令以及验证码,进行登录,登录后,进行任意一项业务操作。如果登录的SessionId和进行业务的SessionId没有变化,则说明存在漏洞。
修改建议:
对每次请求都从上次请求获得令牌,服务端对每次交互都进行验证
查看是否存在浏览器窗口闲置超时后需重新登录的机制
5.2会话超时测试
测试方法:
打开登录界面,输入正确的用户名和口令,进行登录,进行一项业务操作,将浏览器空闲超过30分钟,在进行其他业务操作,如果能够进行其他业务操作,则说明存在漏洞。
修改建议:
需要在后台进行配置Session的超时时间。
5.3会话清除测试
用户注销后会话信息需要清除,否则会导致用户在点击注销按钮之后还能继续访问注销之前才能访问的页面。
测试方法:
进入登录页面,输入正确的用户名和密码,登录成功后,进行一些业务操作,点击注销按钮,在浏览器输入地址,输入上面进行业务操作的地址,如果能够正常返回业务页面,则说明存在漏洞。
修改建议:
在用户注销后,必须将用户的Session信息以及缓存信息全部清空。
6其他
6.1文件目录测试
目录列表能够造成信息泄漏,而且对于攻击者而言是非常容易进行的。所以在测试过程中,要注意目录列表漏洞。
测试方法:
通过浏览器访问web 服务器上的所有目录,检查是否返回目录结构,如果显示的是目录结构,则可能存在安全问题;
或使用DirBuster软件进行测试;
修改建议:
1.针对每个Directory 域都使用Allow 、Deny 等指令设置,严格设定WEB服务器的目录访问权限;
2.删除Options 指令下的Indexes 设置项;
6.2文件上传漏洞
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
修改建议:
严格限制和校验上传的文件类型、大小等,禁止上传恶意代码的文件。同时限制相关目录的执行权限,防范webshell攻击。
6.3http请求方法测试
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。
测试方法:
使用SoapUI等工具,发送除get、post以外的方法请求,如接收应答为200ok,代表启用了不必要的方法。
修改建议:
在tomcat web.xml中增加如下内容:
/* PUT DELETE HEAD OPTIONS TRACE BASIC |
6.4 服务器安全策略
1.服务器用户权限
运行Web服务器的操作系统账号权限越高,那么Web遭到攻击产生的危害就越大。部署到生产环境运行时是不能用root等最高权限的,一切都给予以最小权限。
2.关闭无关端口
网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。
如:关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样他人无法 Ping到服务器,服务器安全得到提升。
修改方法:丢弃 icmp 包可在 iptables 中, 加入一条语句:-A INPUT -p icmp -j DROP
3.更改默认端口
如:默认的 SSH 端口是 22。建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。
举例修改方法:
# 编辑 /etc/ssh/ssh_configvi /etc/ssh/ssh_config# 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):Port 22 Port 18439
# 编辑 /etc/ssh/sshd_configvi /etc/ssh/sshd_config#加入新的 Port 值Port 22Port 18439# 保存后,重启 SSH 服务:service sshd restart
测试新端口连接正常后,删除 Port 22 的配置。同时从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。
4.限制IP登录
如能以固定 IP 方式连接服务器,那么,可以设置只允许某个特定的 IP 登录服务器。 设置如下:
# 编辑 /etc/hosts.allowvi /etc/hosts.allow# 例如只允许 123.45.67.89 登录sshd:123.45.67.89
5.使用证书登录 SSH
相对于使用密码登录来说,使用证书更为安全,具体方法可参见网络资料。
6.5 口令规则建议
规则1:口令长度的取值范围为:0‐ 个字符;口令的最短长度和最长长度可配置;口令的最短长度建议默认为6个字符。
规则2:口令中至少需要包括一个大写字母(A‐Z)、一个小写字母(a‐z)、一个数字字符(0‐9);口令是否包含特殊字符要求可以配置。
规则3:口令中允许同一字符连续出现的最大次数可配置,取值范围:0‐9,当取值为 0 时,表示无限制,建议默认为 3。
规则4:口令须设置有效期,最短有效期的取值范围:0‐9999 分钟,当取值为0时,表示不做限制,建议默认:5 分钟;最长有效期的取值范围:0‐999 天,当取值为 0 时,表示口令永久有效,建议默认:90 天。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
需要这份系统化的资料的朋友,可以戳这里获取
)、一个小写字母(a‐z)、一个数字字符(0‐9);口令是否包含特殊字符要求可以配置。
规则3:口令中允许同一字符连续出现的最大次数可配置,取值范围:0‐9,当取值为 0 时,表示无限制,建议默认为 3。
规则4:口令须设置有效期,最短有效期的取值范围:0‐9999 分钟,当取值为0时,表示不做限制,建议默认:5 分钟;最长有效期的取值范围:0‐999 天,当取值为 0 时,表示口令永久有效,建议默认:90 天。
[外链图片转存中…(img-NGwddKBA-1715222790885)]
[外链图片转存中…(img-cu7jEg1b-1715222790886)]
[外链图片转存中…(img-ra7YmDyD-1715222790886)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
需要这份系统化的资料的朋友,可以戳这里获取