如今安全问题显得越来越重要,一个大型的互联网站点,你如果每天查看日志,会发现有很多尝试攻击性的脚本。
如果没有,证明网站影响力还不够大。信息一体化的背后深藏着各类安全隐患,例如由于开发人员的不严谨导致为Web应用程序编写的代码质量堪忧,这很有可能被第三方恶意利用,从而未经授权的访问就能获取敏感数据和Web服务器的控制权。
目前很多所谓的安全测试工程师仅仅停留在使用一些自动化审计工具来检测系统,并对工具检测出来的Bug进行梳理,然后把它提给开发人员。不懂原理,不懂代码,当开发人员也对于安全一窍不通的时候,没办法从自动审计工具上整理下来的Bug。今天就安全测试做一个简单介绍,为将来想从事安全测试或者对网络安全,渗透测试感兴趣的各位做好基础装备技能的普及。
一
短信轰炸
1
漏洞描述
短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。
2
渗透测试
手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有则进行下一步。
通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行重放攻击,查看手机是否在短时间内连续收到10条以上短信,如果收到大量短信,则说明存在该漏洞。
3
风险评级
可对任意手机号轰炸判定为高风险。
只可对当前手机号轰炸或单个手机号码做了限制,但变换手机号码仍然可以不断发送的,判定为低风险。
4
安全建议
合理配置后台短信服务器的功能,对于同一手机号码,同一验证发送次数不超过5-10次,且对发送时间间隔做限制,当发送超过一定次数(可以为0),加入验证码验证。
二
邮件轰炸
1
漏洞描述
应用系统未限制邮件的发送次数和频率,造成短时间内大量邮件发送至接收者邮箱,造成大量垃圾邮件。
2
渗透测试
手工找到有关网站注册页面,认证页面,是否具有邮件发送页面,如果有则进行下一步。通过利用burp或者其它抓包截断工具,抓取发送邮件的数据包,并且进行重放攻击,查看邮箱是否在短时间内连续收到10封以上邮件,如果收到大量邮件,则说明存在该漏洞。
3
风险评级
-
可对任意邮箱轰炸,判定为高风险。
-
只可对当前邮箱轰炸,判定为低风险。
4
安全建议
合理配置后台邮件服务器的功能,对于同一邮箱,同一验证发送次数不超过5-10次,且对发送的时间间隔做限制。当发送超过一定次数(可以为0),加入验证码验证。
三
短信定向转发
1
漏洞描述
短信接收人可任意指定。
2
渗透测试
拦截发送短信的请求,将手机号改为测试人员的手机号,测试是否可接收短信验证码。
3
安全建议
发送短信时手机号从当前会话中获取,避免从前端传入。
用户的手机号不能随意变动,需要认证过程。
四
邮件可定向转发
1
漏洞描述
应用系统发送邮件的接收人可由客户端任意指定。
2
渗透测试
拦截发送邮件的请求,将接收人邮箱改为测试人员的邮箱地址,测试是否可接收邮件。
3
安全建议
发送邮件时邮箱从当前会话中获取,避免从前端传入。用户的邮箱不能随意变动,需要认证过程。
五
用户密码修改/重置
1
漏洞描述
可通过篡改用户名或ID、暴力破解验证码等方式修改/重置任意账户的密码。
2
渗透测试
密码修改的步骤一般是先校验用户原始密码是否正确,再让用户输入新密码。
3
修改/重置密码机制
修改密码机制绕过方式大概有以下三种:
-
如果输入新密码的接口可以直接访问,那么在未知原始密码的的情况下即可直接修改密码,通常知道了他人的用户名即可任意修改他人的密码。
-
如果系统未校验修改密码的用户身份,那么在提交修改密码请求时,攻击者通过输入密码,将用户名或者用户ID修改为其他人的,即可成功修改他人的密码。
-
当修改密码时系统需要电子邮件或者手机短信确认,而应用程序未校验用户输入的邮箱和手机号,那么攻击者通过填写自己的邮箱或手机号接收修改密码的链接和验证码,以此修改他人的密码。
密码重置机制绕过攻击方式主要有以下两种:
-
通过正常手段获取重置密码的链接,猜解链接的组成结构和内容(如用户名或者时间戳的MD5值)。在得知他人邮箱的情况下,构造重置他人密码的链接。
-
在得知他人手机号的情况下,通过穷举手机验证码重置他人的密码。
4
安全建议
-
一次性填写校验信息(原始密码、新密码等)后再提交修改密码请求。
-
对客户端提交的修改密码请求,应对请求的用户身份与当前登录的用户身份进行校验,判断是否有权修改用户的密码。
-
使用手机或邮箱进行验证时,要与修改密码的用户一一对应,且验证码仅一次有效,验证之后即失效,避免暴力破解。
-
对原始密码进行了验证的情况下,限制输入原始密码的错误次数,防止攻击者暴力破解原始密码。
-
重置密码链接中的关键信息应随机化,不可预测(例如token机制),且禁止将关键信息返回到客户端。
六
SSO认证缺陷
1
漏洞描述
SSO认证存在缺陷,可越权登录他人账户。
2
渗透测试
-
信息传输缺乏安全保证:SSO认证通信过程中大多数采用明文形式传送敏感信息,这些信息很容易被窃取,致使重要信息泄露。另外,在通信过程中大多数场景没有对关键信息进行签名,容易遭到伪装攻击。
-
利用Web服务的安全缺陷:由于单点登录基本上是基于Web服务实现的,所以也不可避免的存在Web服务的安全缺陷,如跨站脚本攻击、越权攻击等。
3
安全建议
-
建议在不影响业务的前提下,使用HTTPS协议传输。
-
严格校验SSO认证过程中的用户身份。
-
过滤用户传入的参数,对特殊符号进行转义或屏蔽。
七
越权
1
漏洞描述
越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐号后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大。其与未授权访问有一定差别。
2
渗透测试
-
以超管 admin(高权限用户) 身份登录系统。
-
找到一个只有超管(高权限)才有的功能的链接,比如:"http://localhost/userManage/userList.do" , 显示出所有的user,并复制此链接。
-
以普通用户登陆进系统,在地址栏输入:userManage/userList.do,确认是否可以查看到其所有的user。
-
还可以测试同级别用户的横向越权访问。
3
安全建议
对用户操作进行权限校验,防止通过修改参数进入未授权页面及进行非法操作,建议在服务端对请求的数据和当前用户身份做一个校验检查。
八
恶意锁定问题
1
漏洞描述
通过不断的输入错误的密码,恶意锁定任意账号。
2
风险评级
-
锁定账户之后,可继续使用认证功能,导致可批量自动化账户锁定,为中风险。
-
锁定账户之后,可继续使用认证功能,但认证存在防自动化功能,为低风险。
3
安全建议
-
账户锁定之后应不能继续使用认证功能,如对请求IP进行一个限制,一段时间之后才可以继续尝试认证。
-
认证功能防自动化操作,如添加图形验证码。
九
业务流程跳跃
1
漏洞描述
应用程序未校验订单数据的取值范围,交易存在负值反冲或正负值对冲。
2
渗透测试
-
提交订单时拦截请求,修改订单参数为负数,如商品单价、数量、总价等。
-
提交订单(包含多种商品)时拦截请求,修改部分商品的单价或数量,保证订单总金额为正数。
3
安全建议
-
服务器端在生成交易订单时,商品的价格从数据库中取出,禁止使用客户端发送的商品价格。
-
服务器端对客户端提交的交易数据(如商品ID、商品数量、商品价格等)的取值范围进行校验,将商品ID和商品价格与数据库中的数据对比校验,商品数量为大于零的整型数。
-
服务器端在生成支付订单时,对支付订单中影响支付金额的所有因素(比如商品ID、商品数量、商品价格、订单编号等)进行签名,对客户端提交的支付订单进行校验。
-
总结
如果你对此文有任何疑问,如果你也需要接口项目实战,如果你对软件测试、接口测试、自动化测试、面试经验交流感兴趣欢迎加入我们,加入方式在文章的最后面
自动化测试相关教程推荐:
2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili
2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili
测试开发相关教程推荐
2023全网最牛,字节测试开发大佬现场教学,从零开始教你成为年薪百万的测试开发工程师_哔哩哔哩_bilibili
postman/jmeter/fiddler测试工具类教程推荐
讲的最详细JMeter接口测试/接口自动化测试项目实战合集教程,学jmeter接口测试一套教程就够了!!_哔哩哔哩_bilibili
2023自学fiddler抓包,请一定要看完【如何1天学会fiddler抓包】的全网最详细视频教程!!_哔哩哔哩_bilibili
2023全网封神,B站讲的最详细的Postman接口测试实战教学,小白都能学会_哔哩哔哩_bilibili
总结:
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
如果对你有帮助的话,点个赞收个藏,给作者一个鼓励。也方便你下次能够快速查找。
如有不懂还要咨询下方小卡片,博主也希望和志同道合的测试人员一起学习进步
在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。
我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划和总结,
测试开发视频教程、学习笔记领取传送门!!
