【FAQ1:如何查看源文件?】
問題描述:如何查看源文件?
解決方案:
1. 一般情況下:在web頁面點擊右鍵,在右鍵菜單中選擇“查看源文件”選項。
2. 該web頁面的右鍵功能被鎖定:在瀏覽器的主菜單中找到“查看”,在其下拉列表中選擇“查看源代碼”選項;
3.該web頁面採用沒有主菜單的框架設計:建議使用帶有“解除右鍵鎖定”插件的瀏覽器,例如使用遨遊瀏覽器(Maxthon),可以安裝其鼠標解鎖插件(EnableRightClick)。
【FAQ2:框架類型的web,如何獲得主頁面的真實URL?】
問題描述:框架類型的web,瀏覽器地址欄中顯示的URL一般不是主頁面的實際URL,如何獲得主頁面的真實URL?
解決方案:開啓webscarab,使用代理,攔截GET和POST類型的HTTP請求,可以獲得所有操作過程中涉及的URL。
【FAQ3:爲什麼在地址欄輸入URL,有時可以正常打開頁面,有時候不能?】
問題描述:爲什麼在地址欄輸入URL,有時可以正常打開頁面,有時候不能?
原因分析:這種情況並不是真正的通過URL繞過鑑權的安全漏洞。由於瀏覽器會自動記錄會話ID(SessionID),即使關閉了訪問原web的tab頁,只要不關閉瀏覽器本身,這些會話ID依然不會清空,這時輸入URL,它會繼承前次會話ID。
解決方案:記錄URL後,關閉瀏覽器重啓,或使用其他瀏覽器,然後再在地址欄內輸入URL進行訪問。
【FAQ4:爲什麼有些輸入數據,在提交時,HTTP代理(如webscarab)卻攔截不到呢?】
問題描述:爲什麼有些輸入數據,在提交時,HTTP代理(如webscarab)卻攔截不到呢?
原因分析:目前有些web使用了AJAX技術,當用戶在頁面的一些輸入域中輸入數據時,AJAX會自動在後臺發送這些數據。如果測試者在填寫完所有的輸入域後,再配置HTTP代理,那麼,在這之前通過AJAX提交的數據就攔截不到了。
解決方案:建議在填寫數據前就配置webscarab代理。
【FAQ5:當產品由於特殊原因(比如客戶需求、特殊的應用場景),無法滿足《Web安全測試規範》的一些安全性要求時,應該怎麼辦?】
問題描述:當產品由於特殊原因(比如客戶需求、特殊的應用場景),無法滿足《Web安全測試規範》的一些安全性要求時,應該怎麼辦?
解決方案:請準備好相關材料和說明,聯繫安全測試小組(何偉祥)討論出具體實施方案。
【FAQ6:AppScan對登陸頁面含有驗證碼的Web應用無法進行掃描】
問題描述:由於會話超時或主動註銷,導致會話ID失效,AppScan無法再對需要登錄才能訪問的URL進行掃描。
解決方案:錄製登錄之後,在scan configuration設置中,對login management下保存的參數中的會話ID進行設置,取消掉對JSESSIONID的tracking。這樣再進行掃描就不會出現會話超時了