1 什么是安全测试
安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。

安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。 它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题。

1.1 安全测试举措
保密 - 它可以防止向非预期接收者披露信息。
完整性 - 它允许从发送者向预期接收者传输准确和正确的所需信息。
身份验证 - 验证并确认用户的身份。
授权 - 它指定对用户和资源的访问权限。
可用性 - 确保准备就绪的信息。
不可否认性 - 它确保发送者或接收者不会拒绝发送或接收消息。
1.2 常见的安全漏洞
1.2.1SQL 注入攻击
名词解释:SQL 注入攻击(SQL Injection),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的 SQL 指令的检查,被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,甚至执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

1.2.2 文件上传
名词解析:文件上传漏洞是指由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取 Web 应用的控制权限(Getshell)。

1.2.3 权限漏洞
名词解析:访问控制是指用户对系统所有访问的权限控制,通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞,很难通过日常的安全工具扫描或防护,通常会造成大量用户数据泄露事件。

水平越权:同一权限(角色)级别的用户之间所产生的问题,如 A 用户可以未授权访问 B 用户的数据等。
垂直越权:不同权限(角色)级别的用户之间所产生的问题,如普通用户可未授权进行管理操作,未登录用户可以访问需授权应用等。
1.2.4 暴力破解
名词解析:暴力破解是指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。随着互联网众多网站的数据库被泄露,攻击者选择的样本可以更具针对性,暴力破解的成功率也在不断上升。

1.2.5 拒绝服务攻击
名词解析:拒绝服务攻击(DoS,Denial of Service)是利用合理的请求造成资源过载,从而导致服务不可用的一种攻击方式。分为针对 Web 应用层的攻击、客户端/APP 的攻击。

1.2.6 敏感信息泄露
名词解析:敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。信息泄露漏洞会导致大量用户或企业信息被恶意利用,进行诈骗、账户窃取等,给用户和企业带来严重的不良影响。并且信息一旦信息被泄露,影响会很难消除。

1.2.7 业务逻辑漏洞
名词解析:业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞,如用户找回密码缺陷,攻击者可重置任意用户密码;如短信漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,多数需要人工根据业务场景及特点进行分析检测。

1.2.8 跨站脚本攻击(XSS)
名词解析:跨站脚本攻击(XSS, Cross Site Script)通常指黑客通过 “HTML 注入” 篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS 漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS 是目前客户端 Web 安全中最重要的漏洞。

XSS 按效果的不同可以分为以下 3 种。

反射型 XSS 攻击:页面仅把用户输入直接回显在页面或源码中,需要诱使用户点击才能成功。
存储型 XSS 攻击:XSS 攻击代码会被存储在服务器中,由于用户可能会主动浏览被攻击页面,此种方法危害较大。
DOM 型 XSS 攻击:通过修改页面的 DOM 节点形成 XSS,严格来讲也可划为反射型 XSS。
1.2.9 跨站点请求伪造(CSRF)
名词解析:跨站点请求伪造(CSRF, Cross Site Request Forgery)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品、转账、修改资料甚至密码等。

2 为什么要做安全测试
提到安全。我们一个产品一个网站最需要加强安全防范的就是数据库。那么如果缺少了安全性测试,在高手的 sql 盲注下,你的数据库就会逐步展现在黑客的面前,无论是数据库类型、表结构、字段名或是详细的用户信息,都有无数种手段可以让人 “一览无余”。

2.1 权限
网站一般都规定了什么样的用户可以做什么事。比如版主可以修改所有人的帖子,而你普通用户只能编辑自己的帖子,同样游客只能看大家的帖子。这就是简单的权限。如果少了安全性保证,那么就容易有人跳出权限做他不该做的事情。

2.2 修改提交数据信息
比如一个支付商城,如果通过抓包抓到的提交价格,经过修改再发包可以通过。简单来说就是本来 100 块钱买的东西,抓包修改为 1 块就能成功购买。这就成为了一个巨大的隐患。

2.3 类似跨站脚本的安全隐患
HTML 注入。所有 HTML 注入范例只是注入一个 JavaScript 弹出式的警告框:alert(1)。
做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了 HTML 代码的页面链接时攻击者能作的各种的恶意事情。
诱捕受害者,可能会 redirect 到另一个钓鱼的其他网站之类的,使其蒙受损失。
2.4 敏感词的校验
比如一个部门的一个网站或者 app,里边可以输入一些有违目前制度以及一些领导人的词汇的问题,这样的影响是非常大的,所以我们要避免这些影响的发生。

3 如何来做安全测试
安全测试是在 IT 软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,可以说,安全测试贯穿于软件的整个生命周期。下面通过一张图描述软件生命周期各个阶段的安全测试,如下图所示。

上图中的风险分析、静态分析、渗透测试都属于安全测试的范畴,与普通测试相比,安全测试需要转换视角,改变测试中模拟的对象。下面从以下维度比较常规测试与安全测试的不同。

3.1 测试目标不同
普通测试以发现 Bug 为目标;安全测试以发现安全隐患为目标。

3.2 假设条件不同
普通测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面;安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。

3.3 思考域不同
普通测试以系统所具有的功能为思考域;安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用和数据自身安全风险与安全属性等。

3.4 问题发现模式不同
普通测试以违反功能定义为判断依据;安全测试以违反权限与能力的约束为判断依据。

4 工作中的总结

4.1 敏感词校验
步骤:

对小程序、h5、官网带输入框的进行敏感词输入、搜索。
小程序校验:

官网校验:

验证是否对敏感词有拦截,如有拦截则正常,如不能拦截则存在安全问题。

4.2 明文传输
对系统传输过程中的敏感内容是明文&密文进行检查,设计到的模块:登录、支付、注册的手机号、身份证、邮箱。

步骤:

对传输敏感信息场景进行抓包。
分析其数据包中的相关敏感字段是否为明文。
例如接口中手机号、座机号、姓名都是明文:

4.3 越权访问
测试是否可以通过 url 直接获取管理员和其他用户信息。

步骤:

查看 url 中是否存在 admin/user/system/pwd 等敏感目录。
当系统存在多个不同权限的管理员时,看低权限的管理员能不能访问到高权限的管理的资源。
当系统存在多个需要登录用户,用 A 用户进行登录,记录所浏览的个人资源的 url 和修改删除的操作;退出 A 用户后,登录 B 用户,使用所记录的 url 来直接访问,看是否可以访问成功或者操作成功。
4.4 非法注入
测试系统是否对输入进行过滤和转移,设计到的模块:搜索框、输入框、备注信息、上传文件、URL、输入框、备注信息。

步骤:

在系统的 URL 地址后面,输入测试语句: ;看是否会有弹框展示。
在搜索框、输入框、备注信息中输入测试语句: ;看是否会有弹框展示。
官网校验如图:

4.4.1 上传文件

步骤:

在上传的文件中输入: ,文件名为 test。
点击上传,查看上传接口,将上传的文件名改为 html 文件,然后访问该文件,如可以访问则存在问题,如不能访问则正常。
4.4.2 文件下载

步骤:

点击文件下载,查看文件下载接口并进行记录。
修改文件下载接口,例如 xxxxx 下载接口/../对路径进行跳转尝试下载其他目录下的文件,看是否可以正常下载,如可以下载则存在问题,如果不能下载则正常。
4.5 短信、邮箱验证
涉及到的模块:触发短信、邮箱验证码的相关场景。

步骤:

操作密码找回、获取验证码获取功能,记录该获取接口。
频繁调用密码找回、验证验证码接口,看是否存在拦截,以防短信被刷。
查看验证码接口,看是否可以通过接口截取到验证码信息。
如下京东快递 h5,短信防刷如图所示:

4.6 密码健壮性
测试密码、验证码验证方式是否可靠,是否可以被暴力猜测直到命中。

步骤:

登录是接入公司的统一登录 passport,可忽略。
验证码的场景,使用抓包工具,修改接口中的密码、验证码,多次尝试输入错误的验证码,如果没有输入次数上限可以暴力猜测直到命中,则存在漏洞。
4.7 数据安全
检测系统中敏感数据的存储是否安全。

步骤:

检查敏感数据是否加密存储,检查对应的数据库表,防止拖库后信息泄露。
检查敏感数据在操作界面是否进行了脱敏操作,例如:密码的显示隐藏选项、手机号、身份证号的展示等。
检查数据设置是否安全,检查在输入设计钱财的边界值,是否可以输入符合和是否超过最大的数额。
定期检测数据库中敏感数据是否做了脱敏处理:

4.8 支付相关
设计到的场景模块:先揽后付、达达支付、协商再投。

步骤:

例如在线支付、达达支付、协商再投在调取收银台、微信支付时,查看支付接口的调用。
查看支付页面金额是否正确,是否存在负数的情况。
查看支付接口,看是否可以通过接口截取到支付密码信息。

作者:苏友鹏


↙↙↙阅读原文可查看相关链接,并与作者交流