***測試是什麼?網絡安全學習中,web***的測試流程是怎樣的?
***測試就是利用我們所掌握的***知識,對網站進行一步一步的***,發現其中存在的漏洞和隱藏的風險,然後撰寫一篇測試報告,提供給我們的客戶。
web***的測試流程:
1.明確目標(合同)
確定範圍:甲方所需要的測試範圍,ip,域名,內外網等。
確定規則:***測試分爲白盒測試和黑盒測試
白盒測試:就是在知道目標網站源碼和其他一些信息的情況下對其進行***,有點類似於代碼分析
黑盒測試:就是隻告訴我們這個網站的URL,其他都不告訴,然後讓你去***,模擬***對網站的***
確定需求:web應用的漏洞(新上線程序),業務邏輯漏洞(針對業務的),人員權限管理漏洞(針對人員、權限)等等。根據需求和自己技術能力來確定能不能做,能做多少,能***到什麼程度,時間,籤合同。
2.信息收集(域名、IP、端口、指紋等)
收集方式:主動收集&被動收集
主動信息收集:通過直接訪問、掃描網站,這種流量將流經網站,然後收集反饋的信息。
被動信息收集:利用第三方的服務對目標進行訪問了解,比例:GoogleHacker搜索、CDN、jsfinder等。
基礎信息:IP,網段,域名,端口、操作系統版本、各端口的應用及其版本,例如web應用,郵件應用等等。
人員信息:域名註冊人員信息,web應用中網站發帖人的id,管理員姓名以及QQ號,微信號等。
防護信息:試着看能否探測到防護設備,哪種防火牆什麼版本。
3.漏洞探索(主機掃描、web掃描等)
通過我們收集到的信息,開始對目標web的掃描,進行漏洞探測環節。探測網站是否存在一些常見的Web漏洞
步驟:
1.用掃描工具:awvs,IBM appscan、Owasp-Zap、Nessus等。PS:掃描器可能會對網站構成傷害
2.找漏洞的資料:結合漏洞去exploit-db漏洞庫等位置找利用。
3.舉例說明該漏洞:找漏洞在網上尋找驗證poc觀點證明。
漏洞:
1.系統漏洞:系統沒有及時打補丁。
2.Websever漏洞:Websever配置問題。
3.Web應用漏洞:SQL注入、XSS、CSRF、XXE、***F、反序列化漏洞等。
4.其它端口服務漏洞:各種21/8080(st2)/7001/22/3389。
5.通信安全:明文傳輸,token在cookie中傳送等。
6.弱口令漏洞:目標網站管理入口使用了容易被猜測的簡單字符口令、或者是默認系統賬號口令。
7.文件下載(目錄瀏覽)漏洞:對用戶查看或下載的文件不做限制,用戶能下載任意的文件。
8.任意文件上傳漏洞:目標網站允許用戶向網站直接上傳文件,但未對所上傳文件進行嚴格的過濾。
9.內部後臺地址暴露:一些僅被內部訪問的地址,對外部暴露了
10.失效的身份認證:通過錯誤使用身份認證和會話管理功能,***者能夠破譯密碼、密鑰或會話令牌
11.失效的訪問控制:未對通過身份驗證的用戶實施恰當的訪問控制。
12.業務邏輯漏洞
4.漏洞驗證(覈實該漏洞和風險評級)
將上一步中發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況,搭建模擬環境進行試驗。
自動化驗證:結合自動化掃描工具提供的結果。
手工驗證:根據公開資源進行驗證。
試驗驗證:自己搭建模擬環境進行驗證。
登陸猜解:有時可以嘗試猜試一下登陸口的賬號密碼等信息。
業務漏洞驗證:如發現業務漏洞,要進行驗證。
5.後續***(需要按照合同內容來,這個環節可能不需要)
漏洞利用:當我們拿到了該網站存在漏洞之後,就可以進一步拿到網站的webshell。
內網轉發:如果我們還想進一步的探測內網主機的信息的話,我們就需要進行內網轉發了。
內網橫向***:當我們在獲取了外網服務器的權限,我們要想盡辦法從該服務器上查找到我們想要的信息。
權限維持:一般我們對客戶做***不需要。rookit,後門,添加管理賬號,駐紮手法等。
清理痕跡:最主要還是要以隱藏自身身份爲主,最好的手段是在***前掛上代理,然後在***後痕跡清除。
6.形成報告(漏洞描述、測試過程、風險評級、安全建議)
整理***工具:整理***過程中用到的代碼,poc,exp等
整理收集信息:整理***過程中收集到的一切信息
整理漏洞信息:整理***過程中遇到的各種漏洞,各種脆弱位置信息
漏洞補充介紹:要對漏洞成因,驗證過程和帶來危害進行分析
安全修補建議:當然要對所有產生的問題提出合理高效安全的解決辦法