一、安全測(cè)試概述

程序員在開(kāi)發(fā)過(guò)程中，會(huì)有意或無(wú)意地埋下一些漏洞，而發(fā)現(xiàn)這些安全性漏洞，尋求有效的解決方法則是測(cè)試工程師義不容辭的責(zé)任。

安全測(cè)試主要涉及以下內(nèi)容：

1、認(rèn)證與授權(quán)

授權(quán)：在網(wǎng)站中不同的角色有不同的權(quán)限。

認(rèn)證：一些網(wǎng)頁(yè)訪問(wèn)需要輸入密碼進(jìn)行登錄認(rèn)證。

在認(rèn)證與授權(quán)中要盡可能避免出現(xiàn)漏洞，否則將被不法分子有意地進(jìn)行利用。

2、Session與Cookie

Session在網(wǎng)絡(luò)應(yīng)用中稱為“會(huì)話控制”，是保存在服務(wù)器端的數(shù)據(jù)或者文件；

cookie是保存在客戶端電腦上的文件；

cookie很容易通過(guò)某種手段獲取到我們的權(quán)限以及一些隱私信息；session ID是唯一的標(biāo)記，一旦別人通過(guò)cookie欺騙等手段獲取了session ID，可以將其作為協(xié)議包發(fā)給服務(wù)器，從而就擁有了我們的權(quán)限。

3、DDOS分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊（DDOS）指的是借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

通常，攻擊者盜用別人的賬號(hào)將DDOS主控程序安裝在一個(gè)計(jì)算機(jī)上，代理程序安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間，主控程序?qū)⑴c大量代理程序進(jìn)行通訊。代理程序收到指令就發(fā)動(dòng)攻擊，從而占用服務(wù)器的資源，無(wú)法正常向用戶提供服務(wù)。

任何事物的發(fā)展都是有利有弊的，高速?gòu)V泛連接的網(wǎng)絡(luò)也不例外。一方面網(wǎng)絡(luò)給大家?guī)?lái)了便捷，另一方面也為DDOS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，由于技術(shù)的限制，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器。而在如今網(wǎng)絡(luò)高速發(fā)展、廣泛連接的信息化時(shí)代，數(shù)據(jù)傳輸不再是問(wèn)題，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，從而作為攻擊的傀儡機(jī)可以分布在更大的范圍，選擇起來(lái)更靈活了。

被DDOS攻擊時(shí)的現(xiàn)象：

1）被攻擊主機(jī)上會(huì)有大量等待的TCP連接；

2）網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假；

3）制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊；

4）利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求；

4、文件上傳漏洞

文件上傳漏洞是指用戶上傳了一個(gè)可執(zhí)行的腳本文件，并通過(guò)此腳本文件獲得了執(zhí)行服務(wù)器命令的能力。

大部分的網(wǎng)站和應(yīng)用系統(tǒng)都具備上傳功能，例如用戶頭像上傳，圖片上傳，文檔上傳，視頻上傳等。由于實(shí)現(xiàn)文件上傳的代碼沒(méi)有嚴(yán)格限制用戶上傳的文件后綴以及文件類型，導(dǎo)致允許攻擊者向某個(gè)目錄上傳任意PHP文件，并能夠?qū)⑦@些文件傳遞給PHP解釋器，就可以在遠(yuǎn)程服務(wù)器上執(zhí)行任意PHP腳本。

當(dāng)系統(tǒng)存在文件上傳漏洞時(shí)攻擊者可以將病毒，木馬，其他惡意腳本或者是包含了腳本的圖片上傳到服務(wù)器，這些文件將對(duì)攻擊者后續(xù)攻擊提供便利。根據(jù)具體漏洞的差異，此處上傳的腳本可以是正常后綴的PHP，ASP以及JSP腳本，也可以是篡改后綴后的這幾類腳本。

5、XSS跨站攻擊

XSS跨站攻擊指的是攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。

XSS漏洞是目前為止發(fā)現(xiàn)的在所有網(wǎng)站超過(guò)80%比例的定制Web應(yīng)用程序中最常見(jiàn)的漏洞。XSS主要攻擊的是用戶，例如釣魚(yú)網(wǎng)站獲取別的用戶的Session ID，通過(guò)別人的輸入來(lái)獲取關(guān)鍵信息。

XSS是一種攻擊技術(shù)，它使得加載在用戶的Web瀏覽器上的網(wǎng)站出現(xiàn)攻擊者提供的可執(zhí)行代碼，當(dāng)黑客利用該存在漏洞的網(wǎng)站作為攻擊對(duì)象時(shí)，用戶理所當(dāng)然的成為受害者。

跨站攻擊的類型包含持久型跨站、非持久型跨站、DOM跨站，不同的跨站類型，有不同的跨站特點(diǎn)與區(qū)別，但又有跨站之間的相互聯(lián)系。

存儲(chǔ)型XSS，持久化，代碼是存儲(chǔ)在服務(wù)器中的，如在個(gè)人信息或發(fā)表文章等地方，加入代碼，如果沒(méi)有過(guò)濾或過(guò)濾不嚴(yán)，那么這些代碼將儲(chǔ)存到服務(wù)器中，用戶訪問(wèn)該頁(yè)面的時(shí)候觸發(fā)代碼執(zhí)行。這種XSS比較危險(xiǎn)，容易造成蠕蟲(chóng)，盜竊cookie等。

反射型XSS，非持久化，需要欺騙用戶自己去點(diǎn)擊鏈接才能觸發(fā)XSS代碼（服務(wù)器中沒(méi)有這樣的頁(yè)面和內(nèi)容），一般容易出現(xiàn)在搜索頁(yè)面。

DOM跨站攻擊是最隱蔽型的攻擊，也就是說(shuō)輸出內(nèi)容在源碼里面看不到，不是直接輸出的。

6、SQL注入

通過(guò)任何可以輸入的地方，向服務(wù)器端注入信息，是普遍的攻擊方式。

總體來(lái)說(shuō)就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

具體來(lái)說(shuō)，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，它可以通過(guò)在Web表單中輸入（惡意）SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。

不知道設(shè)計(jì)者的SQL語(yǔ)句，不知道用戶名，密碼，采用這種暴力破解，準(zhǔn)備足夠多的賬號(hào)信息，不停地進(jìn)行試驗(yàn)，總可以找到用戶名，密碼。快速破解需要借助于代碼，而不是人工主要采用的方式。

7、跨站請(qǐng)求偽造（CSRF）

跨站請(qǐng)求偽造（CSRF）指的是攻擊者控制受害者的計(jì)算機(jī)，強(qiáng)迫受害者的瀏覽器向一個(gè)易受攻擊的Web應(yīng)用程序發(fā)送請(qǐng)求，最后達(dá)到攻擊者所需要的操作行為。惡意請(qǐng)求會(huì)帶上瀏覽器的Cookie，受攻擊的Web應(yīng)用信任瀏覽器的Cookie。

二、安全測(cè)試類型詳解

1、認(rèn)證與授權(quán)

盡量避免未被授權(quán)的頁(yè)面可以直接訪問(wèn)，應(yīng)該對(duì)每個(gè)頁(yè)面都有一個(gè)session變量的判斷。如果沒(méi)有判斷只要用戶知道URL地址就能進(jìn)行訪問(wèn)。

測(cè)試方法：在不登陸的情況下，使用絕對(duì)URL地址對(duì)頁(yè)面進(jìn)行訪問(wèn)，能否正常訪問(wèn)，絕對(duì)URL地址直接通過(guò)httpwatch對(duì)每個(gè)請(qǐng)求進(jìn)行獲取。

2、session與cookie

避免保存敏感信息到cookie文件中，cookie的保存可以提高用戶的體驗(yàn)。

作用域：

Set-Cookie：PHPSESSIONID= ;pash=/相對(duì)于根目錄而言的，如C：\xampp\htdocs就是根目錄，agileone保存的信息是在phpwind是能讀取到的，相互之間是同樣的作用域，兩個(gè)系統(tǒng)可以交叉讀取cookie信息。

解決辦法是：不同的應(yīng)用系統(tǒng)不同的作用域，如將agileone和phpwind兩個(gè)應(yīng)用配置在不同的作用域當(dāng)中：即可修改代碼path=/agileone，path=/phpwind.

3、DDOS拒絕服務(wù)攻擊

（1）分布式的拒絕服務(wù)式攻擊（攻擊服務(wù)器的電腦分布在不同地方向服務(wù)器發(fā)送請(qǐng)求）的兩種方式

1）使用肉機(jī)

通過(guò)設(shè)置木馬讓很多電腦受遠(yuǎn)程控制，幫忙執(zhí)行病毒程序，服務(wù)器防火墻無(wú)法通過(guò)封鎖IP的方式進(jìn)行處理，唯一的解決辦法就是服務(wù)器夠強(qiáng)大；

2）形成攻擊聯(lián)盟

很多人聯(lián)合起來(lái)對(duì)同一個(gè)網(wǎng)站發(fā)起攻擊，對(duì)網(wǎng)站流量形成一定壓力，對(duì)同一網(wǎng)站造成傷害。