配置管理測試
1、網路和基礎設定配置測試(otg-config-001)
測試方法:已知伺服器漏洞(apache、iis等)。略。
2、應用平台配置測試(otg-config-002)
測試方法:
a. 黑盒測試:已知web伺服器檔案和目錄;注釋審查
b. 灰盒測試:
· 只啟用應用程式需要的服務模組。
· 處理伺服器錯誤(40x或50x),使用定製頁面代替web服務頁面。
· 確保伺服器軟體在作業系統中以最小化許可權執行。
· 確保伺服器軟體正確地記錄了合法的訪問和錯誤異常的日誌。
· 確保伺服器被配置了正確的處理過載和防止dos攻擊。
· 所有使用者能預設讀取.net 框架 machine.config和 root web.config檔案,不要把敏感資訊儲存到這些檔案中。除非只有管理員能檢視。
· 在同一機器上只有iis工作程序可以被讀取,而其他使用者不能看到的敏感資訊應該被加密。
· 匯出共享配置檔案的加密金鑰時,要用強密碼進行保護。
· 始終限制訪問包含共享的配置檔案和加密金鑰目錄。
· 考慮通過防火牆規則和ipsec技術,只允許web伺服器成員連線到共享檔案。
c. 日誌
存在敏感資訊的日誌
日誌位置(單獨的日誌伺服器)
日誌儲存(可能被dos攻擊)
日誌輪轉迭代
日誌訪問控制
日誌審核
3、敏感資訊檔案擴充套件處理測試(otg-config-003)
確定web伺服器如何處理包含不同副檔名對應的請求,也許能幫助你理解web 伺服器對於不同型別檔案訪問的行為模式。
測試方法:
a. 強制瀏覽
b. 檔案上傳
c. 灰盒測試
工具:nessus,nikto。
4、對舊檔案、備份和未被引用檔案的敏感資訊的審查(otg-config-004)
測試方法:
黑盒測試:
b、發布內容的其他線索(注釋)
c、盲猜
d、通過伺服器漏洞和錯誤配置獲取資訊
e、使用公開資源獲取資訊(搜尋引擎歸檔檔案)
f、檔名過濾繞過(基於正則的黑名單過濾)
灰盒測試:周期性地在後台執行任務來檢查帶有副檔名的檔案,並確定是檔案副本或備份檔案,並且定期執行手動檢查。
工具:nessus,nikto,wikto。
5、列舉基礎設施和應用程式管理介面(otg-config-005)
主要測試某些特權功能收被乙個沒有授權的使用者或一般使用者訪問。(未經授權訪問)
測試方法:
黑盒測試:
目錄和檔案的列舉。
存在很多可獲取的工具可對伺服器內容執行暴力攻擊。
在源**中的注釋和鏈結。
審查伺服器和應用程式文件。
公共可獲取的資訊。
任意伺服器端口。
引數的篡改。(如:cookie)
灰盒測試:源**審查。
工具:dirbuster、thc-hydra。
6、http方法測試(otg-config-006)
主要測試不安全的http方法。(put、delete、connect、trace)
測試方法:
用netcat或telnet。(options http測試方法)
a、測試任意http方法
找乙個存在安全訪問限制的頁面,用jeff方法發出請求,若不支援,會發出錯誤頁面(405,501)
否則繼續攻擊:jeff /admin/changepw.php?member=myadmin&passwd=123&confirm=123
foobar /admin/createuser.php?member=myadmin
cats /admin/groupedit.php?group=admins&member=myadmin&action=add
b、測試head訪問控制繞過
找乙個存在安全訪問限制的頁面,用jeff方法發出請求,若不支援,會發出錯誤頁面(405,501),說明沒問題。
若出現200ok,則有可能應用程式在處理請求時沒有授權和認證體系。
(同上)
head /admin/changepw.php?member=myadmin&passwd=123&confirm=123
head /admin/createuser.php?member=myadmin
head /admin/groupedit.php?group=admins&member=myadmin&action=add
工具:netcat
7、http強制安全傳輸測試(otg-config-007)
http強制安全傳輸(hsts)頭,要求web站點與web瀏覽器之間的流量交換始終基於https之上,有助於沒有加密的資訊在傳輸過程中受到保護。
主要檢查使用這個頭的web是否會有如下安全問題:
· 嗅探網路流量並且檢視再文加密通道上傳輸的資訊。
· 中間人攻擊
· 使用者錯誤地輸入http代替https,或使用者點選了乙個在web內錯誤關聯http協議的鏈結。
測試方法:
通過劫持**並檢查伺服器響應的hsts頭
或是用curl指令:
¥ curl -s -d- | grep strict
期望:strict-transport-security:max-age=...
8、ria跨域策略測試(otg-config-008)
富網路應用程式(ria)通過domain.xml策略檔案允許跨域訪問控制,所以,乙個域可以授予乙個不同的域從遠端訪問它的服務。
若策略檔案配置不當,將導致跨站點偽裝攻擊等。
測試方法:
取出應用程式中的crossdomain.xml和clientaccesspolicy.xml檔案。檢查所允許的因為最小的許可權原則。存在「*」的配置策略應密切檢查。
如:期望結果:乙個策略檔案列表被發現了;存在缺點的策略配置。
工具:nikto,owasp zed attack proxy project,w3af。
*本文僅為《安全測試指南》一書的學習筆記
測試基礎 配置管理
目的 採用配置標識 配置控制 配置狀態統計以及配置審計來建立和維護工作產品的完整性 角色與職責 入口準則及輸入檔案 工作程式 配置管理計畫階段 工作程式 納入配置管理 工作程式 基線發布 工作程式 變更管理 工作程式 配置審計 配置項命名規則 規則 說明 專案英文縮寫 大分類 模組 子分類 子模組 ...
軟體測試 配置管理(7)
能夠識別產品的結構及其型別,並且以某種形式對產品結構進行訪問,也能夠通過一定的機制修改配置項。好比你想買電腦,需要明確電腦的硬體配置 主機,cpu,電源。軟體配置 配置管理 針對每個專案進行版本控制,並且維護不同專案之間的版本關係,以便軟體在開發過程中任一時間的內容都可以被追溯 配置管理是通過對軟體...
軟體測試管理方法(九) 軟體配置管理
配置管理是應用技術和管理手段 識別和記錄配置項的功能和物理特性 控制其變更 控制和報告變更的過程以及當前 狀態 作用 有效管理工作產品與工作產品之間的 一致性 合理的控制和實施 變更,維護對專案範圍的 一致理解 1.軟體配置管理的各項工作是有計畫進行的。2.被選擇的專案產品得到識別,控制並且可以被相...