安全测试工具操作.docx
- 文档编号:10177628
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:26
- 大小:4.16MB
安全测试工具操作.docx
《安全测试工具操作.docx》由会员分享,可在线阅读,更多相关《安全测试工具操作.docx(26页珍藏版)》请在冰豆网上搜索。
安全测试工具操作
Confidential
(秘密)
安全测试工具操作
2011.06
WrittenBy***
*****©1996,2011
AllRightsReserved
修订历史记录
文档标识:
TW_PROC_TS_303
当前版本:
0.1
当前状态:
草稿
发布日期:
发布
修改历史
日期
版本
作者
修改容
评审号
变更控制号
2011-06-13
V0.1
邓叶武
创建
1.概述
1.1编写目的
详细介绍安全测试期间需使用的工具,该操作手册配合<<安全测试规>>一起使用。
1.2工具说明
以下是安全测试的部分工具,在安全测试评估过程中很实用,后续可补充更专业的工具。
2.安全测试工具
2.1AppScan
2.1.1工具介绍
IBMAppScan是一个领先的Web应用程序安全测试工具,基于黑盒测试,可自动化Web应用的安全漏洞评估工作,能扫描和检测所有常见的Web应用程序漏洞,如:
SQL注入,跨站点脚本攻击等,并提供了扫描,报告和修复建议等功能。
具体信息请参考:
-01.ibm./software/awdtools/appscan/
2.1.2工具原理
通过模拟Web用户单击,爬虫站点应用程序所有预定的页面和,并建立本地副本,得到应用程序目标脚本,URL,目录,表单,页面,和字段,并分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息,AppScan接受到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。
测试将发送它在”探索”阶段创建的上千条定制测试请求。
它使用定制
验证规则记录和分析应用程序对每个测试的响应,这些规则即可识别应用程序的安全问题,又可排列其安全风险级别。
工具原理图:
2.1.3功能列表
测试类型
输入参数操作
跨站脚本
SQL注入
代码执行
文件包含
脚本源代码检查
CRLF注入
CrossFrameScripting(XFS)
PHP代码注入
Xpath注入
全路径泄露
LDAP注入
Cookie操作
文件检查
检查备份的文件及目录
URI中的跨站脚本
检查脚本错误
目录检查
查找常见的文件
发现敏感的文件和目录
发现存在弱权限控制的目录
路径和SESSIONID中的跨站脚本
文本搜索
目录列表
源代码泄露
注释信息搜索
常见文件检查
Email地址收集
本地路径泄露
错误信息
2.1.4实用操作
共四步操作:
1.下载AppScan,目前使用的是破解版本7.8.0.2,并安装成功;
2.启动AppScan,点击菜单:
文件—>新建,展示界面如下:
说明:
以下模板是工具部模板,只可以在线升级,不可以用户自定义。
一般常用模板是总是扫描模板。
3.选择综合扫描模板,展现界面:
选择是WebService接口扫描,还是扫描应用程序。
4.点击”下一步”按钮,填入被测系统的URL
5.点击“下一步“按钮,展示界面:
这里是扫描被测系统时,需不需要记录登陆操作的步骤,一般需要记录,因为有些页面,只有登陆后才能被覆盖,点击”记录”按钮,
记录登陆后的页面展示:
6.点击”下一步”按钮,进入选择策略界面:
一般在策略文件中选择Default策略,也可以自定义策略(后续会介绍),取消”发送登陆和注销页面上的测试”的复选框。
7.点击”下一步”按钮,显示界面:
8.以上设置完成后,点击”完成”按钮,即可以对被测系统进行扫描测试。
但是我们扫描测试时,要考虑具体系统的具体情况,因此还需要考虑如下的配置情况,请接第9步。
9.在”第7步”显示出来的界面上,选择”我将稍后启动扫描”单选钮,目的是进一步的检查或设置配置.
10.确认配置情况,点击菜单”扫描扫描配置”,界面展示如下:
其中注意探索选项,自动表单填充,多步骤操作,通信和代理,测试策略,测试选项等配置.
11.探索选项,一般根据系统情况,深度限制默认20,可修改,搜索方法默认宽度优先.
12.自动表单填充,取消”启用自动表单填充”复选框,在生产环境中,如果启用该功能,则可能会自动填充系统中的输入文本框,如果被测系统存在SQL注入漏洞,则扫描时,数据库会有垃圾数据产生。
13.多步骤操作,如果系统中集成多个系统,则可以在这里操作.
14.通信和代理,这里考虑扫描时,对服务器和客户端有性能瓶颈,因此需要考虑
开启多少个线程数。
15.测试策略。
测试策略是整个工具的核心,用户可自定义测试策略,比如:
只扫描被测系统的SQL注入漏洞,设置时只勾选SQL注入复选框,然后保存,AppScan工具可以根据用户需要设置不同的测试策略。
.
在上面的测试策略界面,点击”更新设置”,则弹出来界面如下:
该工具测试都是非侵式测试,因为侵入式测试是一种非常消耗服务器资源的测试,
比如:
DOS测试,由于启动缓冲溢出等处理从而引起Web程序或服务器崩溃,IBMRational强烈建议在进行侵入式测试得在管理者的协助下来进行倾入式测试,并且最好避开Web程序使用的高峰时间。
16.测试选项中,取消”发送登录和注销页面上的测试”复选框,原因是:
Web程序会在执行了多次不正确的登录动作之后锁定用户的账号
前面是关于扫描配置情况,配置完成后,下面介绍扫描,点击菜单”扫描运行扫描专家评估”,这个操作的目的:
评估配置是否设置完全。
接上一步,然后执行“探索“测试,点击菜单:
扫描完全扫描或扫描仅探索.
运行扫描后的界面展示:
扫描完成后,展示界面,并对界面上的关键点进行补充说明:
的功能是扫描完成后的漏洞展示,如图:
的功能是展示所有需要修复的问题,按高-中-低级别显示。
如图:
功能是探索阶段分解网页产生的表单,字段,URL等参数数据,如图:
扫描完成后,点击菜单:
工具运行结果专家,其作用是对扫描的结果进行归类,在什么地方显示。
点击菜单:
:
工具—报告。
说明:
AppScan是安全扫描的主要工具,请务必掌握。
2.2WebScarab
2.2.1工具介绍
该工具主要是一款基于IE浏览器的代理软件,实现的功能有:
HTTP代理,网络蜘蛛,会话ID分析,WebService测试,跨站脚本等.
2.2.2实用操作
1.使用WebScarab工具,首先在浏览器中设置代理,设置代理的操作步骤:
打开IE工具Internet选项“连接“选项卡点击”局域网设置”按钮,在弹出的界面配置代理服务器IP为127.0.0.1,端口为8008。
2.在IE中打开输入被测系统的URL,HTTP端口一般默认是80端口;
3.启动WebScarab;
4.在Web页面输入合法数据,并提交;
5.此时WebScarab会弹出HTTP请求拦截窗口,如图:
6.修改对应的输入参数值为不合法数据,点击”AcceptChanges”按钮,提交数据,这样就绕过了客户端的输入校验,向服务器端提交不合法的输入数据。
说明:
该工具功能强大,目前只用于登陆,注册等操作向服务器提交数据时,拦截数据是否加密传输,如果没有加密,则数据传输有风险。
2.3TamperData
2.3.1工具介绍
该工具是一款基于FireFox浏览器的插件,是武士WTF火狐附加组件工具集合中的一部分,功能是:
可以用来查看和修改HTTP/HTTPS的头部和
POST参数;可以用来跟踪HTTP请求和响应。
即“纂改数据”,其实,该功能和WebScarab实现的功能一样。
2.3.2实用操作
1.安装Firefox浏览器,加载TamperData插件;
2.点击StartTamper按钮,页面提交请求,可以根据需要定制HTTP请求头,如:
HTTP头Addelement操作,
3.TamperData提供了一些进行XSS(跨站脚本)攻击和SQL注入攻击的代码,而且允许加入自己的攻击代码,极大方便对WEB站点进行安全测试
说明:
该工具目前用户登录,注册,修改密码等功能的安全检查,纂改提交的客户端请求,评估安全风险,后续需完善工具操作。
2.4Namp
2.4.1工具介绍
Nmap----网络探测和安全扫描工具,系统管理者和个人可以使用这个软件扫描大型的网络,获取那台主机正在运好行以及提供什么服务等信息,nmap运行通常会得到被扫描主机端口的列表。
每个端口的状态有:
open,filtered,unfiltered。
Filtered状态表示:
防火墙,包过滤和其它的网络安全软件掩盖了这个端口,禁止namp探测其是否打开。
Unfiltered状态表示:
关闭状态。
2.4.2实用操作
1.该软件有针对不同系统的安装版本,目前本机是WindowsXP系统,
从nmap.org/book/inst-windows.html#inst-win-exe下载,并安装;
2.启动nmap
3.填入被扫描目标主机,执行扫描,如图:
4.选择Ports/Hosts选项卡,端口状态有open,filtered,unfiltered状态,其中unfiltered表示close状态.
2.5DirBuster
2.5.1工具介绍
该工具是一个多线程的Java应用开源工具,用于强攻被测试系统服务器的目录,只有知道了目录信息才能确定攻击的目标,通过该工具扫描找出隐藏的目录或文件漏洞。
2.5.2实用操作
1.从https:
//.owasp.org/index.php/Category:
OWASP_DirBuster_Project下载该工具,安全JDK,安装该软件;
2.启动DirBuster,填写TargetURL,填写端口,如果是HTTPS协议,则端口号是:
443。
在Filewithlistofdirs/files栏中点击browse,选择破解的字典库:
directory-list-2.3-small.txt,将Fileextension中填入正确的文件后缀,默认为php,如果为jsp页面,需要填入jsp.其它选项不变,点击右下角的start,启动目录查找
3.扫描后的界面
说明:
上面扫描出来的界面,存在弱点,原则上扫描只能到dir层次,不能打印出dir下面的File列表。
2.6Pangolin
2.6.1工具介绍
该工具是一款帮助渗透测试人员进行SQL注入测试的安全工具,所谓的SQL注入测试就是通过利用目标的某个页面缺少对用户传递参数控制或者
控制的不够好的情况下出现的漏洞,从而达到获取,修改,删除数据,甚至控制
数据库服务器,Web服务器的目的测试方法。
2.6.2实用操作
1.下载,安装Pangolin工具;
2.运行Pangolin,在输入框中输入URL地址,且带参数情况.比如:
待测目标存在参数输入,假设为name=value
3.点击Check按钮执行扫描操作。
说明:
2.7LiveHTTPheaders
2.7.1工具介绍
该工具是FireFox下的一个插件,可以用来实时监测发起的http请求和响应,也可以修改请求参数之后重新发起请求。
主要是用于加密认证。
如果是加密认证,该工具监控的http请求head中,会显示Authentication字样。
2.7.2实用操作
1.下载插件,加载到FireFox浏览器;
2.开启工具,用户在访问一个需要HTTPBasicAuthentication的URL的时候,如果你没有提供用户名和密码,服务器就会返回401,如果你直接在浏览器中打开,浏览器会提示你输入用户名和密码。
下面是通过该工具截取的HTTP请求信息:
3.要在发送请求的时候添加HTTPBasicAuthentication认证信息到请求中,有2种方法:
一是在请求头中添加Authorization:
Authorization:
”Basic用户名和密码的base64加密字符串”
二是在url中添加用户名和密码:
username:
passwordlocalhost:
8000/index.html
4.发送的时候,一般都是采用Base64编码
base64enc.encode("user:
password");
5.因此使用该工具的目的就是查看该请求页面是否有Authoriztion,是否是采用Base64编码或者其它类型的加密认证方式。
说明:
被测系统中MD5加密认证可参考该思路;或者第三方系统接入系统也可参考该思路。
2.8WSDIgger
2.8.1工具介绍
该工具是面向SOA(ServiceOrientArchitecture)服务体系的安全黑盒测试工具,通过工具自动检查WebService接口是否存在SQL注入,XPATH注入,跨站脚本漏洞。
2.8.2实用操作
由于目前没实践案例,需后续补充该工具操作。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 测试 工具 操作
![提示](https://static.bdocx.com/images/bang_tan.gif)