微信号:grzlwx

介绍:光荣之路官方资讯

web安全黑盒测试之保证测试的全面性

2015-05-09 21:34 tester

在目前的 WEB 安全黑盒测试方法中,一般是按照黑客攻击的手法进行测试,以达到准确性与全面性。那么,如何保证黑盒测试的全面性与准确性呢?总结一下,可以有以下几个方面:

1、对产品项目的熟悉程度。

测试之前,对项目进行了解跟踪,熟悉项目的所有功能、接口以及与其他项目的关联性(有时候A项目的功能会造成B项目存在安全风险)。

2、全面的技术知识。

由于每个项目的功能都不同,可能涉及到的应用就不同,有的项目是视频应用,就要了解flash脚本编写技术与前端配置知识,大多数 flash蠕虫都是因为前端配置问题造成的。有些项目用到了AJax,那么测试人员就必须了解AJax的知识。有的项目用到 ActiveX 插件,那么就要知道 ActiveX 可能造成的安全问题,等等。所以,安全测试人员要掌握全面技术知识,才可以对每个项目进行测试,并不因为新项目中包含新的技术而放弃测试。同时还要有不断的学习能力,遇到未知的技术要进行快速学习,然后对项目进行测试。

3、超强的漏洞挖掘能力,以及实战能力。

安全测试时,必须按照黑客攻击的手法进行测试,所以,这就要求WEB安全测试人员拥有超强的漏洞挖掘能力与漏洞认知度。同样还要拥有实战经验,一个没有实践经验的测试人员,不是一个好的安全测试人员,当安全测试人员并不知道安全BUG所造成的的方式与利用后所造成的影响,就不能全部的发现所有安全BUG,同时又不能在各个安全BUG危险度上进行分级,这就造成一些安全BUG的疏漏。

4、黑盒测试标准

总结出一个黑盒测试标准文档,对所有可能影响的安全漏洞进行罗列,并详细描述黑盒测试的方法与步骤,在项目测试过程中对条目中的所有漏洞进行检测,并严格按照规定的方法进行测试。

5、细心+用心

一个很小的功能,就可能造成很大的安全漏洞,如果未测试到就进行上线,就可能造成黑客攻击,所有的用户帐户被盗取,或者应用瘫痪。

所谓工欲善其事,必先利其器,这里列出了一些常用的黑盒测试工具:

1、扫描工具:

Web Vulnerability Scanner

Ratproxy

2、嗅探工具:

Wireshark

Fiddler2

WebScarab

burpsuite

SPIKEProxy

appsniff

httpwatch

Paros

3、测试工具:

Web2Fuzz

pangolin

sqlmap

Firefox+插件:

—————————————————————————

FileEncrypter HASH转换

https://addons.mozilla.org/firefox/3208

nftools HASH转换

http://www.net-force.nl/files/download/nftools/nftools.xpi

Greasemonkey 在网页内实时插入脚本

https://addons.mozilla.org/firefox/748/

hackbar SQl注入辅助

https://addons.mozilla.org/firefox/3899/

Add n Edit Cookies 编辑COOKIES

https://addons.mozilla.org/firefox/573/

Poster 自定义构造POST的提交 包括文件上传

https://addons.mozilla.org/fr/firefox/addon/2691

RefControl 编辑REF来源等

https://addons.mozilla.org/firefox/953/

LiveHTTPHeaders方便记录给次的GET和POST提交并可以relpaly修改HTTP请求包

https://addons.mozilla.org/firefox/3829/

Tamper Data 监视所有的GET和POST提交

https://addons.mozilla.org/firefox/966/

User Agent Switcher 可以伪造User Agent

https://addons.mozilla.org/firefox/59/

View Dependencies 展示页面所有相关的文件

https://addons.mozilla.org/firefox/2214/

Web Developer 控制打开关闭HTML元素

https://addons.mozilla.org/firefox/60/

Jsview 查看整个页面的JS

https://addons.mozilla.org/firefox/2076/

FormFox 自动识别提交表单指向的URL

https://addons.mozilla.org/fr/firefox/addon/1579

FireBug 自动查找页面语法错误

https://addons.mozilla.org/firefox/1843/

httpfox http协议分析器

https://addons.mozilla.org/en-US/firefox/addon/6647

——————————————————-

总结:

只有对项目中所有的应用接口与功能进行全面测试,并对可能造成的风险进行一一审核,兼备完善的WEB安全技术,同时,由于未来情况下可能会存在新的攻击方式,并时刻关注业内安全事件,对于新的攻击手段进行跟踪学习,应用到安全测试中,才可以达到安全黑盒测试的全面性,保证应用的安全性。


原文转自:http://blog.163.com/tech_qa/blog/static/13017634920103260214799/


更多测试资讯,请关注光荣之路微信公众号:gloryroadtrain


 
光荣之路 更多文章 今天晚上的 linux 公开课- Awk 编程 7月28日(今天)晚上的 linux 公开课- shell编程 8月4日(今天)晚上的 linux 公开课- shell编程 9月1日(本周一)晚8点半,光荣之路Web自动化系列基础课—javascript第二讲 推荐本好书《与机器赛跑》
猜您喜欢 《神秘的程序员们》漫画连载07-日程预估 Android 开发中实用工具 【揭秘】西班牙制造的针对性攻击木马Machete !!! 17张PPT详解最近热炒的“场景争夺” 手把手教你搭建博客