拿去吧你,软件测试的文件和目录测试都在这
铁子们,今日学习份额已更新~一起来头秃吧!
本章节主要讲解“软件测试的文件和目录测试”的内容,文件和目录测试主要是从服务器中的文件内容和目录方面测试服务器是否存在漏洞。
主要需要测试以下几方面的信息:
- 目录列表测试。
- 文件归档测试。
- Web 服务器控制台测试。
- Robots 文件接口查找。
- 使用工具对敏感接口进行遍历查找。
(1)目录列表测试。
目录列表可能造成信息泄漏,并且很容易被攻击,所以在测试过程中应该注意查找所有目录列表可能存在的漏洞。
在测试过程中可以使用一些工具对Web 服务器的目录列表进行测试。下面以DirBuster 工具为例,对目录进行测试。
DirBuster 是一个多线程Java 应用程序,用于暴力破解Web 服务器上的目录和文件。根据一个用户提供的字典文件,DirBuster 会试图在应用中爬行,并且猜测非链接的目录和有特定扩展名的文件。例如,如果应用使用PHP,用户可以指定“php”为特定文件扩展名,DirBuster 将在每个爬虫程序遇到的目录中猜测名为“字典中的词.php”的文件。DirBuster 能够递归扫描查找的新目录,包括隐藏的文件和目录。
测试的条件是需要先在测试机上安装JRE 和DirBuster 软件,测试步骤如下:
第一步:运行DirBuster.jar 程序。
第二步:在Host 输入框中输入目标服务器的IP 地址或域名,在Port 输入框中输入服务器的端口,如果服务器只接受HTTPS 请求,则需要在Protocol 下拉列表中选择HTTPS 协议,如图12-11所示。
第三步:单击Browse 按钮,设置破解的字典库为directory-list-2.3-small.txt。
第四步:取消选中Brute Force Files 复选框。
第五步:单击右下角的Start 按钮,开始目录查找。查找结束后会生成查找结果,如图12-12所示。
第六步:依次右击Response 值为200 的行(只有Response 值为200 才表示请求成功,其他的都表示请求不成功),在弹出菜单中选择Open In Browser 选项。
第七步:分析结果,所有Response 值为200 的目录均不能打印出文件列表。
(2)文件归档测试。
在网站管理员的维护过程中,经常会出现对程序或者页面进行备份的情况(有时备份并不一定是有意的,也可能是无意的,如UltraEdit 软件在修改后会自动生成一个后缀名为bak 的文件)。攻击者通过直接访问这些备份的路径可以下载文件。通常需要检查是否包含后缀名为.bak、.BAK、.old、.OLD、.zip、.ZIP、.gz、.rar、.tar、.temp、.save、.backup、.orig、.000、.dwt 和.tpl 等格式的文件。
文件归档测试的步骤如下:
第一步:进入Web 服务器的后台操作系统。
第二步:通过命令进入可以通过Web 方式访问到的目录,即客户端可以通过浏览器访问到的目录(Tomcat 服务器的目录为$home/webapps)。
第三步:使用find 命令查找当前目录下是否存在.bak、.BAK、.old、.OLD、.zip、.ZIP、.gz、.rar、.tar、.temp、.save、.backup、.orig、.000、.dwt 和.tpl 后缀名的文件,命令格式为Find ./ -name"*.后缀名"。例如查找包含后缀名为“.bak”的文件,命令如下:
Find ./ -name “*.bak”
第四步:确定通过Web 方式访问的目录,在开发过程中产生的临时文件、备份文件等。
(3)Web 服务器控制台测试。
不同的Web 服务器,其控制台URL 地址、默认账号、口令都不同,常见的Web 服务器控制台URL 地址、默认账号和口令见表12-8。
在浏览器中输入Web 服务器控制台的URL,查看Web 服务器是否部署了控制台,如果部署了,应该验证使用默认的账号、口令是否能登录,如果能登录成功,说明服务器存在漏洞。一般情况下不需要部署Web 服务器的控制台,如果部署了,那么最起码应该保证使用弱口令不能登录,而必须是强口令。
(4)Robots 文件接口查找。
搜索引擎蜘蛛访问网站时,会先看网站根目录下是否存在一个名为Robots.txt 的纯文本文件,Robots.txt 是用于指令搜索引擎禁止抓取网站某些内容,这样可以通过Robots.txt 文件保护相关文件或目录名称。如果Robots.txt 文件不存在,搜索引擎蜘蛛可以访问网站上所有没有被口令保护的页面或文件。那么当网站根目录下存在Robots.txt 时,应该注意该文件中不能存在一些敏感的文件接口。
通过浏览器访问Robots.txt 文件的格式为http://www.exmaple.com/robots.txt,
如http://192.168.1.1/robots.txt,返回如图12-13 所示的内容。
检查Robots.txt 文件中是否包含一些敏感的目录或文件(如敏感目录/employee/salary_files、敏感文件/sys_manager/setup.jsp)。如果存在,系统则存在风险。
(5)使用工具对敏感接口进行遍历查找。
使用工具对敏感接口进行遍历查找主要是通过工具对Web 服务器中的目录或文件接口进行遍历,检查是否有对外的明显的链接,使用工具可以对一系列目录或文件接口进行枚举访问,可以指定检查文件的类型,以确定Web 系统是否存在漏洞。同样可以使用DirBuster 对目录或文件接口进行遍历查找。
步骤如下:
第一步:首先安装JRE 和DirBuster 软件。
第二步:运行DirBuster.jar 程序。
第三步:在Host 输入框中输入目标服务器的IP 地址或域名,在Port 输入框中输入服务器的端口,如果服务器只接受HTTPS 请求,则需要在Protocol 下拉列表中选择HTTPS 协议。
第四步:单击Browse 按钮,设置破解的字典库为directory-list-2.3-small.txt。
第五步:在File extension 输入框中输入用于设置等查找文件的后缀名,默认值为php,如果需要查找html 文件,可以将该选项值设置为html。
第六步:单击右下角的Start 按钮,运行结束后,生成的结果如图12-14 所示。
单击图12-14 中的Report 按钮,可以生成相应的报告,查找报告中是否有对外开发的敏感接口文件。
今天关于“软件测试的文件和目录测试”的内容就给大家念叨到这里,希望对做这些工作的小伙伴有帮助~
大家觉得文章有用的话一定要关注我们,每天来这里和小编一起学习涨薪技能哦。
最后: 可以在公众号:伤心的辣条 ! 免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。
如果我的博客对你有帮助、如果你喜欢我的博客内容,请 “点赞” “评论” “收藏” 一键三连哦!喜欢软件测试的小伙伴们,可以加入我们的测试技术交流扣扣群:914172719(里面有各种软件测试资源和技术讨论)
好文推荐
转行面试,跳槽面试,软件测试人员都必须知道的这几种面试技巧!
面试经:一线城市搬砖!又面软件测试岗,5000就知足了…
面试官:工作三年,还来面初级测试?恐怕你的软件测试工程师的头衔要加双引号…
什么样的人适合从事软件测试工作?
那个准点下班的人,比我先升职了…
测试岗反复跳槽,跳着跳着就跳没了…
拿去吧你,软件测试的文件和目录测试都在这相关推荐
- linux修改文件没有备份文件,linux文件或目录权限修改后如何恢复(备份了权限就能恢复)...
操作系统 RHEL5 如果你在linux上执行了如下操作 chmod -R 777 / 或者 chmod -R 700 / 那么恭喜你,你的系统即将崩溃,重启之后,你进不了图形界面,而且很多服务都起不 ...
- linux 临时 目录权限,linux文件和目录权限的设置
linux文件和目录权限的设置 修改文件权限 如果想改变文件或目录的权限,可以使用chmod命令,改变文件或目录的权限有两种方法:助记法和八进制法. ·助记法: 语法: 使用u(user).g(gro ...
- linux下的文件及目录介绍
/dev,设备: /proc - proc文件系统所需目录: /etc,系统配置文件: /sbin,重要的系统程序: /bin,基本应用程序: /lib,共享函数库: /mnt,装载其他 磁盘节点: ...
- linux文件或目录权限修改后如何恢复(备份了权限就能恢复)
操作系统 RHEL5 如果你在linux上执行了如下操作 chmod -R 777 / 或者 chmod -R 700 / 那么恭喜你,你的系统即将崩溃,重启之后,你进不了图形界面,而且很多服务都起不 ...
- linux改完权限后 自动恢复,linux文件或目录权限修改后如何恢复(备份了权限就能恢复)...
操作系统 RHEL5 如果你在linux上执行了如下操作 chmod -R 777 / 或者 chmod -R 700 / 那么恭喜你,你的系统即将崩溃,重启之后,你进不了图形界面,而且很多服务都起不 ...
- php判断文本不存在,nginx 判断访问文件或目录不存在rewrite
文件及目录匹配,其中: * -f和!-f用来判断是否存在文件 * -d和!-d用来判断是否存在目录 * -e和!-e用来判断是否存在文件或目录 * -x和!-x用来判断文件是否可执行 样例 : 判断访 ...
- 去大厂面试软件测试看这55个问题就够了!
以下是软件测试相关的面试题及答案,欢迎大家参考! 1.你的测试职业发展是什么? 测试经验越多,测试能力越高.所以我的职业发展是需要时间积累的,一步步向着高级测试工程师奔去.而且我也有初步的职业规划,前 ...
- 怎么去控制浏览器对资源文件的处理行为
浏览器是怎么处理文件链接的 通常当用户打开一个资源的url,如果浏览器支持这个格式的文件的情况下,浏览器会尝试去再页面里展示它而不是直接下载.例如一张图片(jpg, png, gif等),几乎所有浏览 ...
- python批量_python 中如何去执行批量的.py文件
因为有一次系统大重构,开发任务繁重,身为测试的我接下数据迁移的重担,原来是sqlsever的数据库,重构后的系统为mysql,所以用上了python 去做这个数据迁移 先写了一大堆脚本文件,一个表写了 ...
最新文章
- 基于问题导向与成果产出的教学模式:《大数据与城市规划》特色课程
- 北大图灵班本科生带来动画CG福音,「最懂骨骼的卷积网络」,无需配对样本实现动作迁移 | SIGGRAPH...
- nuxt 头部引入js文件 第一次进入页面不加载js文件的解决方法
- executing an update/delete query问题
- Cookie和Session区别
- 深入浅出 Javascript API(二)--地图显示与基本操作 转
- 查看计算机上隐藏用户,隐藏或显示 InetOrgPerson 对象类 - Windows Server | Microsoft Docs...
- Memo History Tracking History in Access 2007
- C#程序关闭时怎么关闭子线程
- 整理读研期间用过、改进过、写过的代码
- 使用 macOS 为安卓刷机
- 页面加载缓冲的login
- MapGIS转换为ArcGIS小结
- VIN码识别/车牌识别:是入口,是门面
- java未将对象引用设置_未将对象引用设置到对象的实例,怎么解决啊??
- k8s 1.20,IPv4/IPv6 双协议栈
- Quill编辑器内置样式配置
- vue 仿日历格式对账单下载功能
- 银联支付(一)申请测试环境,并运行测试demo(在线网关支付)
- 2019年天津大学计算机专业本校保研经验帖
热门文章
- 12muduo_base库源码分析(三)
- socket编程(七)
- vue自定义组件递归实现树状_一道价值25k的腾讯递归组件面试题(Vue3 + TS 实现)...
- 【答辩问题】计算机专业本科毕业设计答辩的一般程序2
- radio默认选中并显示相应信息 php,php实现select、radio、checkbox默认选择示例
- java实验指导答案华软_Java核心编程技术实验指导教程
- 如何转换为系统应用_如何将AVI转换为GIF
- css中表居中,CSS DIV中表格居中显示
- QT将窗体变为顶层窗体
- FFT分析的加窗和重叠