本文由小編根據慕課網視頻親自整理,轉載請注明出處和作者。
1.安全測試
滲透測試
滲透測試是取得了用戶的授權的行為,而黑客的攻擊是沒有授權的。
完成滲透測試后,需要向用戶提交測試結果的報告,黑客在攻擊完成之后,會銷毀攻擊的痕跡。
2.滲透測試 VS 安全測試
區別:
滲透測試着重點在攻擊,滲透測試的目的是攻破軟件系統,以證明軟件系統存在問題。
安全測試的着重點在防御,對整個系統的防御的功能進行一個系統的考慮。
滲透測試的目的是攻破系統,所以只要選擇一些薄弱的環節,選擇一些點來攻擊系統,達到攻破系統的目的就可以了。
安全測試必須從整個的防御面上來考慮系統的安全性。
從難易程度上來說,因為安全測試要考慮的更多,所需要掌握的知識也更多,所以也更加地困難一些。
3.OWASP
Open Web Application Security Project:開放的web應用安全項目。這是針對web應用的最著名的一個安全項目。
OWASP Top 10:每隔幾年,OWASP會發布行業上最具有威脅的十大安全漏洞,並且對其進行詳細的說明分析。
OWASP2013 Top10:
- 注入漏洞,一般指SQL注入、腳本注入這樣的漏洞。一般是攻擊者通過頁面的輸入來進行巧妙的構造,來達到使系統執行不應該執行的SQL或腳本的功能,達到提高用戶權限,從而訪問不應該訪問的數據的目的。
- 失效的身份認證和會話管理。比如會話劫持這樣的漏洞,用戶訪問系統的時候,認證的憑據是外部可見的,易於被別人獲取的,從而造成用戶身份的暴露。
- 跨站腳本。攻擊者通過惡意的手段,構造使用戶的瀏覽器能夠執行動態的內容,達到攻擊的目的。
- 不安全的對象的直接引用。比如在URL中,包含了一些參數,比如ID=12345這樣的一些參數,如果把參數直接修改為54321可能就能直接的變更頁面訪問的對象,或者獲取其他用戶的數據。如果這方面的保護不足,就會造成這樣的漏洞。
- 安全配置錯誤。比如系統使用的框架、服務,很多框架服務都有默認的密碼,對於黑客來說,默認密碼都是已知的,如果這些東西不變更,訪問時就可以直接使用。比如系統開放了不必要的端口、服務,這樣的問題,都是安全配置類的錯誤。
- 敏感信息泄露:信息傳遞過程中,沒有對關鍵信息進行加密,有可能造成信息的泄露。
- 功能級別的訪問控制缺失:比如訪問一個網站,能夠在內部導航到一個用戶沒有權限到達的地方,這樣的漏洞就屬於訪問控制的缺失。
- 跨站請求偽造:網站存在漏洞,攻擊者通過外部的一個惡意的網站,在用戶訪問了一個正常網站的時候,再去訪問這個惡意網站,則正常網站的相關憑據可能就會被惡意網站上的代碼執行、獲取到。
- 使用了已知的具有漏洞的組件:業界會有非常多的安全漏洞暴露出來,如果這些已知的安全漏洞我的系統也使用了相關的技術,那這些漏洞沒有及時地更新,沒有及時地打補丁,那這些漏洞就是存在的。如果沒有及時地補救,容易造成系統被攻擊。
- 未被驗證的重定向和轉發:網站如果具有重定向的功能,如果對重定向過來的請求,不對它進行校驗,就很有可能被攻擊者構造重定向,來轉到一些釣魚網站。
- OWASP Testing Guide:是指引安全測試人員如何實施安全測試的一個測試指南。
當然,OWASP上還有其他一些安全項目,比如開源的安全工具,還有開發的指南。
安全測試作為比較專業的一種測試類型,也有很多測試工具來提供測試支持。
4.安全測試工具:
- Appscan:IBM的,針對web應用的漏洞掃描工具。
- Webinspect:惠普的漏洞掃描工具,和Appscan功能上比較類似。
- Nessus:非常著名的一款主要針對服務器主機類的漏洞檢查工具。有免費版本。
- Nmap:非常著名的端口嗅探的工具。通過掃描主機來看看開放了哪些端口,可以進行下一步的攻擊。
- MetaSploit:非常著名的攻擊框架,包含有大量的插件,可以對目標系統進行檢測,還有滲透測試。
- WebScarab:OWASP開源項目提供的一項工具,是基於代理劫持的分析,來進行工具路徑的檢測,功能很強大。
- Fortify:和Webinspct是同一個公司的產品,主要是一個白盒的測試工具,是針對開發的源代碼的靜態的分析,靜態分析出源碼中可能存在的問題。
- W3AF: 開源的安全漏洞掃描工具,也是主要針對web應用的。