首席信息安全官

 找回密码
 注册
搜索
日志综合审计数据库安全审计运维堡垒机域名&虚拟主机游侠安全网
查看: 5939|回复: 6

安全测试笔记03

  [复制链接]
发表于 2011-3-6 17:36:47 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
1.
应用配置管理测试
主要是测试组成应用程序体系结构的各个单元是否做了正确的配置,已防止出现损坏整个体系结构安全的错误。
测试项目:
a.
已知的文件和目录
检查部署的web服务器是否提勾了默认安装的实例文件和程序,提供的实例文件和程序是否有已知的漏洞可以利用。可利用CGI扫描器进行扫描,CGI扫描器中会包括详细的已知文件和目录的清单,例如:nikto工具。
b.
审核注释
审查web服务器返回的静态和动态内容,确认没有泄露敏感信息。可利用wget工具对被测应用做镜像,以待检查。
c.
配置审核
主要是审查部署的web服务器是否有常规的配置错误,可参照以下公用准则进行审查:
c.1 确定只启动应用程序需要的服务器模块。
c.2 使用定制网页而不是使用默认的web服务器的网页处理程序错误(400,500)。使用默认的网页处理程序,可能会泄露当前服务器版本及数据库等敏感信息。
c.3 确保服务器软件在操作系统中以最小权限运行。
c.4 确保服务器软件可以正确记录合法登录和错误。
c.5 确保服务器的配置可以妥善处理超载,并能防止拒绝服务攻击。
c.6 确保服务器已进行适当的性能调整。
d.
对服务器/应用程序日志的审查
d.1 确定日志中是否包含敏感信息,如个人资料,管理员登录信息等。
d.2 确定日志是存放在单独的位置,而不是在web服务器本身。
d.3 确定日志的存储是否会造成拒绝服务攻击,即对日志的写操作会填满整个文件系统,导致服务器无法正常响应请求。
d.4 确定循环使用日志的配置是否正确。
d.5 正确的日志记录应该是在分析日志时即能确定正常的文件操作,也能确定web服务器是否发生可攻击。例如:大量的来自同一IP40X错误,可能表明服务器曾遭受了cgi扫描器的攻击。
d.6 日志的统计和分析不应该在产生日志的同一台服务器上生成并存储。
2.
文件扩展名、过时的、用于备份的以及未被引用的文件的处理测试
不提供服务的包含敏感信息泄露的文件扩展名,不应该被返回和下载,可以利用漏洞扫描工具进行检查,或者利用镜像工具wget等。
使用自动或者手动的技术,对未被引用的文件进行测试,主要针对未被引用文件中是否包含敏感信息;是否包含在新版本总修复的漏洞;利用脆弱性扫描工具可有效针对此类问题进行检测。
3.
基础结构和应用管理界面
利用常规推测;应用泄露的敏感信息等发现应用管理入口,并对管理界面进行蛮力攻击,及绕过验证等测试。
4.
HTTP
方法和XST(跨站点跟踪)测试
测试web服务器提供的HTTP方法,及是否可造成xst攻击。
Request-URI是一个统一资源标识符即URL
HTTP方法:
l
GET

请求获取Request-URI所标识的资源
l
POST
Request-URI所标识的资源后附加新的数据
l
HEAD
请求获取由Request-URI所标识的资源的响应消息报头
l
PUT
请求服务器存储一个资源,并用Request-URI作为其标识
l
DELETE
请求服务器删除Request-URI所标识的资源
l
TRACE
请求服务器回送收到的请求信息,主要用于测试或诊断
l
CONNECT 保留将来使用
l
OPTIONS 请求查询服务器的性能,或者查询与资源相关的选项和需求
测试步骤:
8.1 利用nc 测试地址 80 利用OPTIONS方法,测试请求资源允许使用的方法
8.2 如果web服务器返回的内容信息允许trace方法,则被测站点则可能会遭受XST(跨站点跟踪)攻击。
8.3 利用nc测试任意的HTTP方法,可用bash或批处理定制自动化任务。
发表于 2011-3-6 18:50:58 | 显示全部楼层
步骤很详细了,支持原创。

曾经考虑要否提供一些测试工具下载
但是貌似现在管理很严
有时候想找个nc都得找好几个网站才能下到
发表于 2011-5-19 10:50:15 | 显示全部楼层
好好学习
发表于 2011-6-3 11:29:23 | 显示全部楼层
还可以啊,我什么时候写点东西。
发表于 2011-11-18 15:06:53 | 显示全部楼层
不提供下载,可以提供下载链接嘛
发表于 2011-11-18 15:08:16 | 显示全部楼层
不提供下载,可以提供下载链接嘛
发表于 2015-4-9 12:07:50 | 显示全部楼层
谢谢楼主!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

中国首席信息安全官

QQ|Archiver|手机版|小黑屋|首席信息安全官 ( 陕ICP备09020588号-7

GMT+8, 2021-8-2 22:52 , Processed in 0.022223 second(s), 6 queries , Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表