《安全测试指南》——配置管理测试【学习笔记】
配置管理测试
1、网路和基础设置配置测试(OTG-CONFIG-001)
测试方法:已知服务器漏洞(APache、IIS等)。略。
2、应用平台配置测试(OTG-CONFIG-002)
测试方法:
a. 黑盒测试:已知web服务器文件和目录;注释审查
b. 灰盒测试:
· 只启用应用程序需要的服务模块。
· 处理服务器错误(40x或50x),使用定制页面代替web服务页面。
· 确保服务器软件在操作系统中以最小化权限运行。
· 确保服务器软件正确地记录了合法的访问和错误异常的日志。
· 确保服务器被配置了正确的处理过载和防止DOS攻击。
· 永远不要允许非管理员身份(除NT SERVICE\WMSvc)去访问applicationHost.config,redirection.config和administration.config(任何读或写访问权限)
· 永远不要再网络上向外共享applicationHost.config,redirection.config和administration.config。
· 所有用户能默认读取.NET 框架 machine.config和 root web.config文件,不要把敏感信息存储到这些文件中。除非只有管理员能查看。
· 在同一机器上只有IIS工作进程可以被读取,而其他用户不能看到的敏感信息应该被加密。
· 不能给予web服务器用户访问共享的applicationHost.config 写权限。
· 使用单独的身份来发布applicationHost.config 共享,不要使用此用户身份在web服务器去配置共享配置文件的访问权限。
· 导出共享配置文件的加密密钥时,要用强密码进行保护。
· 始终限制访问包含共享的配置文件和加密密钥目录。
· 考虑通过防火墙规则和IPSec技术,只允许web服务器成员连接到共享文件。
c. 日志
存在敏感信息的日志
日志位置(单独的日志服务器)
日志存储(可能被dos攻击)
日志轮转迭代
日志访问控制
日志审核
3、敏感信息文件扩展处理测试(OTG-CONFIG-003)
确定web服务器如何处理包含不同扩展名对应的请求,也许能帮助你理解web 服务器对于不同类型文件访问的行为模式。
测试方法:
a. 强制浏览
b. 文件上传
c. 灰盒测试
工具:Nessus,Nikto。
4、对旧文件、备份和未被引用文件的敏感信息的审查(OTG-CONFIG-004)
测试方法:
黑盒测试:
a、根据发布的内容对命名模式推断(如:viewuser.asp可以推出可能含edituser.asp,adduser.asp,deleteuser.asp;/app/user可以推出可能含/app/admin,/app/manager)
b、发布内容的其他线索(注释)
c、盲猜
d、通过服务器漏洞和错误配置获取信息
e、使用公开资源获取信息(搜索引擎归档文件)
f、文件名过滤绕过(基于正则的黑名单过滤)
灰盒测试:周期性地在后台执行任务来检查带有文件扩展名的文件,并确定是文件副本或备份文件,并且定期执行手动检查。
工具:Nessus,Nikto,Wikto。
5、枚举基础设施和应用程序管理界面(OTG-CONFIG-005)
主要测试某些特权功能收被一个没有授权的用户或一般用户访问。(未经授权访问)
测试方法:
黑盒测试:
目录和文件的枚举。
存在很多可获取的工具可对服务器内容执行暴力攻击。
在源代码中的注释和链接。
审查服务器和应用程序文档。
公共可获取的信息。
任意服务器端口。
参数的篡改。(如:cookie)
灰盒测试:源代码审查。
工具:Dirbuster、THC-HYDRA。
6、HTTP方法测试(OTG-CONFIG-006)
主要测试不安全的http方法。(PUT、DELETE、CONNECT、TRACE)
测试方法:
用netcat或telnet。(options HTTP测试方法)
a、测试任意HTTP方法
找一个存在安全访问限制的页面,用JEFF方法发出请求,若不支持,会发出错误页面(405,501)
否则继续攻击:JEFF /admin/changePw.php?member=myAdmin&passwd=123&confirm=123
FOOBAR /admin/createUser.php?member=myAdmin
CATS /admin/groupEdit.php?group=Admins&member=myAdmin&action=add
b、测试HEAD访问控制绕过
找一个存在安全访问限制的页面,用JEFF方法发出请求,若不支持,会发出错误页面(405,501),说明没问题。
若出现200OK,则有可能应用程序在处理请求时没有授权和认证体系。 (同上)
HEAD /admin/changePw.php?member=myAdmin&passwd=123&confirm=123
HEAD /admin/createUser.php?member=myAdmin
HEAD /admin/groupEdit.php?group=Admins&member=myAdmin&action=add
工具:NetCat
7、HTTP强制安全传输测试(OTG-CONFIG-007)
HTTP强制安全传输(HSTS)头,要求web站点与web浏览器之间的流量交换始终基于HTTPS之上,有助于没有加密的信息在传输过程中受到保护。
主要检查使用这个头的web是否会有如下安全问题:
· 嗅探网络流量并且查看再文加密通道上传输的信息。
· 中间人攻击
· 用户错误地输入HTTP代替HTTPS,或用户点击了一个在web内错误关联HTTP协议的链接。
测试方法:
通过劫持代理并检查服务器响应的HSTS头
或是用curl指令:
¥ curl -s -D- https://test.com/ | grep Strict
期望:
Strict-Transport-Security:max-age=...
8、RIA跨域策略测试(OTG-CONFIG-008)
富网络应用程序(RIA)通过domain.xml策略文件允许跨域访问控制,所以,一个域可以授予一个不同的域从远程访问它的服务。若策略文件配置不当,将导致跨站点伪装攻击等。
测试方法:
取出应用程序中的crossdomain.xml和clientaccesspolicy.xml文件。检查所允许的因为最小的权限原则。存在“*”的配置策略应密切检查。
如:
<cross-domian-policy>
<allow-access-from domain="*" />
</cross-domian-policy>
期望结果:一个策略文件列表被发现了;存在缺点的策略配置。
工具:Nikto,OWASP Zed Attack Proxy Project,W3af。
*本文仅为《安全测试指南》一书的学习笔记
转载于:https://www.cnblogs.com/4wheel/p/11488079.html
《安全测试指南》——配置管理测试【学习笔记】相关推荐
- 测试Servlet生命周期学习笔记
测试环境:windows xp旗舰版 软件环境:myclipse8.5+tomcat7.0 ****************************************************** ...
- Jest 测试框架使用的学习笔记
Jest Tutorial for Beginners: Getting Started With JavaScript Testing Jest 是一个 JavaScript 测试运行器,即用于创建 ...
- 【01】霍格沃兹测试开发学社技术学习笔记之测试开发体系介绍
互联网测试技术体系 经典技术架构 到一家公司,首先需要了解业务线的技术架构,不同的技术架构采用的测试方法不同. 经典业务架构 业务架构强调的是对业务的理解. 技术架构的质量保证 用户体验层:UI,UE ...
- python内建函数测试对象身份_Python学习笔记 03 Python对象
1.Python对象 Python对象都拥有三个特性:身份.类型和值. 身份:每一个对象都有一个唯一的身份标识自己,任何对象的身份都可以使用内建函数id()来得到.这个值可以被认为是该对象的内存地址. ...
- 霍格沃兹测试开发学社技术学习笔记之——Python基础笔记
# 阶段十一-Python语言和测试框架(1) ## 1.pycharm环境变量配置和安装 ## 2.基础数据类型 数字 字符串 ## 3.运算符 字符串算数运算符 比较运算符 赋值运算符 逻辑运算符 ...
- python内建函数测试对象身份_python 学习笔记day03-python基础、python对象、数字、函数...
python基础 语句和语法 注释及续行 首要说明的是:尽管python可读性最好的语言之一,这并不意味者程序员在代码中就可以不写注释 和很多UNIX脚本类似,python注释语句从#字符开始 注释可 ...
- Android App压力测试(慕课网学习笔记)
转载:https://blog.csdn.net/a923751813/article/details/72884826 一 背景 1. 为什么开展压力测试 目标1:提高产品稳定性(产品稳定性是一项 ...
- 霍格沃兹测试开发学社技术学习笔记之pytest的使用
1. 简介 pytest是一个成熟的全功能python测试框架 测试用例的skip和xfail,自动失败重试等处理 能够支持简单的单元测试和复杂的功能测试,还可以用来做selenium/appnium ...
- 《精通QTP-自动化测试技术领航》学习笔记7--环境变量
1.环境变量分为qtp 内置变量和用户 自定义变量 2.设置环境变量:file->settings->environment 3.使用环境变量代码 'qtp内置环境变量---------- ...
- 《中国高血压防治指南2010》学习笔记-完成
序言 针对我国人群60%为盐敏感型及饮食高钠低钾的特点建议开展限钠补钾活动, 政府有关部门.学术团体和企业联合启动了以限钠为 主的健康行动:④我国的研究提示,有较高比例的高血 压人群伴有高同型半胱氨酸 ...
最新文章
- Postman全局变量的使用
- 2017年09月23日普级组 数列
- MySQL的常见存储引擎介绍与参数设置调优(转载)
- LeetBook《程序员的算法趣题》Q18---水果酥饼日
- php 微信pic_url,一段代码实现微信公众号开发校园图书馆
- awksed story
- Windows安装nginx服务
- java 类 date_第十九回:Java常用类之Date
- 2.C语言基础-sprintf函数用法
- 如何查看sql2000 sp4是否安装成功 及sp4补丁安装
- html设置为壁纸win10,Win10默认桌面背景怎么设置
- 16版.订阅报刊杂志-答案代码(Java)
- 绿茶集团在港上市申请再失效:王勤松夫妇为实控人,翻台率不及格
- 【Android】腾讯即时通讯SDK的初次接入的详细记录
- postman interceptor抓取cookie
- easyexcel插件
- LC5454.统计全1子矩阵(矩阵统计)
- 两种实现多线程的方式 迅雷案列
- 计算机的加密技术是指,一、密码技术笔记-常见的密码加密技术
- Mac视频格式转换器哪个好