安全测试前置实践2-安全渗透测试

这篇具有很好参考价值的文章主要介绍了安全测试前置实践2-安全渗透测试。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

作者:京东物流 陈维

一、引言

本文我们将以围绕系统安全质量提升为目标,讲述在功能安全测试&安全渗透测试上实践过程。

希望通过此篇文章,帮助大家更深入、透彻地了解安全测试。

二、安全渗透测试实践

安全前置扫描主要是识别白盒漏洞、黑盒漏洞问题,针对JSRC类问题,需要通过渗透测试进行漏洞发现。

1.安全测试类别

安全测试根据开展的阶段不同,测试对象不同,可以分为:功能安全测试、安全渗透测试

以下是两者定义、两者的区别:

两者定义 功能安全测试 在安全开发生命周期(SDL)的测试验证阶段,对应用系统进行检验,验证是否符合安全需求定义和产品质量标准的过程 。
安全渗透测试 在功能安全测试完成后和产品正式上线发布前,以黑客视角对应用系统的可以被利用的安全漏洞进行发现和检查,以保护资产和重要数据的机密性、完整性和可用性。
功能安全测试 安全渗透测试
两者区别 出发点不同 以发现系统所有可能的安全隐患为出发点 以成功入侵系统,证明系统存在安全问题为出发点
视角不同 站在防护者角度思考问题,尽量发现所有可能被攻击者利用的安全隐患,并指导其进行修复 渗透测试是以攻击者的角度来看待和思考问题
思考域不同 以系统所具有的功能为思考域 不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等

具体内容:

功能安全测试:

在功能测试阶段进行,由各业务线测试工程师进行,主要包括以下几个方面:

• 人员权限设置,是否满足需求文档中的说明:

1). 是否初始化好所有的角色;

2). 每个角色是否按最小权限进行功能配置;

•权限测试:水平越权、垂直越权、交叉越权;

•敏感信息处理是否符合规范;

1). 加密存储;

2). 显示屏蔽;

3). 脱敏导出;

4). 操作安全日志记录;

安全渗透测试:

逻辑安全测试 登录逻辑安全测试 主要测试登录验证逻辑是否可以绕过,是否存在验证码、是否可以撞库和暴力破解
修改密码逻辑安全测试 针对修改密码逻辑顺序绕过问题测试,针对修改密码中短信、邮件发送逻辑和其中验证码逻辑做相关测试
验证码逻辑测试 对验证码复杂度和验证码验证顺序逻辑、验证码验证重放攻击做安全测试
认证模块测试 对手机短信、ca证书等强认证模块的绕过测试
客户端安全测试 XSS测试 用户输入畸形脚本及标签过滤转义
CSRF测试 验证服务器是否添加会话TOKEN及验证referer
JSON挟持测试 检测json格式变化及是否验证referer
XSIO测试 测试是否限制图片postion为absolute
基础认证钓鱼测试 检查是否可以修改img标签的src属性构造基础钓鱼页面
URL跳转测试 检测用户能否修改应用的url参数使页面跳转到指定页面
Flash安全测试(客户端) 测试Flash配置中allowscriptaccess、allowNetworking是否合理配置
cookie安全测试 测试重点cookie是否使用了HttpOnly
CRLF测试 检查用户输入在HTTP头中返回,并且没有过滤%0a%0d
服务端安全测试 SQL注入测试 在数据库交互操作的输入点,输入sql语句测试是否可以执行
上传漏洞测试 在上传功能点,测试服务端是否对上传文件类型进行有效限制
信息泄露测试 测试应用是否对系统报错、测试页面等进行有效处理,是否会泄露系统敏感信息
文件下载安全测试 在文件下载或者读取功能上,测试功能设计是否合理,是否文件名称和路径用户可控
HTTP头测试 HTTP头代理伪造、HTTP头PUT请求等畸形数据测试
远程代码执行测试 提交特定的代码,测试代码是否会被应用执行
路径遍历测试 访问各个路径,测试是否可以显示路径下文件信息
垂直权限测试 检测普通用户是否能进入当前用户权限不能进入的功能,执行高权限操作
Flash安全测试(服务端) 检查配置文件crossdomain.xml是否配置合理
水平权限测试 测试用户是否只能操作自己当前用户的资源,是否能够操作其他相同权限用户的资源
SSRF漏洞 测试相关服务是否存在对内部网络探测
框架安全测试 struts框架安全测试 针对struts2表达式代码执行漏洞进行测试
springMVC框架安全测试 针对springMVC标签多个代码执行漏洞进行测试
openssl安全测试 针对openssl“心脏出血”等漏洞进行测试

1.功能安全测试

(1)开展功能安全测试

Step1:确定项目是否需要安全评审

参考标准(来源安全部):

•公司重点战略项目

•外网新系统

•大量外部人员使用的内网系统(建议15人以上)

•含重大商业机密,特殊敏感性的系统;

•新采购的乙方项目或外包项目;

•上面几类系统在重大升级时。

Step2:依托SDL流程开展安全测试:

Step3:测试阶段的功能安全测试:

安全用例设计->测试执行->漏洞报告

Step4:上线前的提交渗透测试

(2)功能安全在项目中开展

SDL测试阶段开展功能安全测试:

①确定测试方案:功能安全测试、安全渗透测试、代码白盒扫描、应用黑盒扫描。

②安全用例设计

③功能安全用例: 基于功能点,从权限控制、越权类、数据类 维度进行用例设计。

SDL上线前提交安全渗透测试.

2.安全渗透测试

(1)开展渗透测试

Step1:使用测试工具:

•BurpSuite安装:

下载地址:https://portswigger.net/burp/communitydownload

Proxy SwitchyOmega(代理插件):代理插件下载地址

•浏览器代理配置:

安全测试前置实践2-安全渗透测试

•BurpSuite -Proxy监听配置:

安全测试前置实践2-安全渗透测试

•BurpSuite使用:

浏览器启用Proxy进行代理,通过BurpSuite进行数据抓取:

安全测试前置实践2-安全渗透测试

Proxy-Repeater进行请求包的重发:

Proxy-Intruder进行暴力爆破:

选定变量参数--参数化--批量重发请求--结果获取分析。

Step2:测试执行

Step3:整理报告

(2)常见漏洞测试

权限绕过

定义:指权限控制功能不严谨,系统用户可以访问或者操作未授权的功能或者数据。

水平越权场景:当系统存在多个相同权限的用户时,A用户越权访问或操作到B用户的资源。

垂直越权场景:当系统存在不同权限的用户时,低权限用户越权访问或操作到高权限用户的资源。

未授权访问:用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问的页面或者信息。

提交了大量的举证单信息:

SSRF(服务端请求伪造)

定义:由攻击者构造请求,由服务端发起请求的安全漏洞,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。

存储XSS漏洞

定义:跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用XSS代码攻击成功后,很可能获得很高的权限。

XSS分为:反射型,存储型,DOM型。

三、总结

本文主要讲述了功能安全测试&安全渗透测试 的定义、区别、开展方案,以及实践举例。

这两中安全测试既可在项目开展SDL流程的过程中开展,同时也可将安全渗透测试单独拿出来,针对组内外网系统,专项进行渗透测试。

通过这样的测试,可以降低遗漏到JSRC外部白帽问题数。文章来源地址https://www.toymoban.com/news/detail-412350.html

到了这里,关于安全测试前置实践2-安全渗透测试的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 关于并发编程与线程安全的思考与实践 | 京东云技术团队

    作者:京东健康 张娜 并发编程的意义是充分的利用处理器的每一个核,以达到最高的处理性能,可以让程序运行的更快。而处理器也为了提高计算速率,作出了一系列优化,比如: 1、硬件升级:为平衡CPU 内高速存储器和内存之间数量级的速率差,提升整体性能,引入了多

    2024年02月07日
    浏览(70)
  • 【Kali Linux高级渗透测试】深入剖析Kali Linux:高级渗透测试技术与实践

    📕作者简介: 热爱跑步的恒川 ,致力于C/C++、Java、Python等多编程语言,热爱跑步,喜爱音乐的一位博主。 📗本文收录于恒川的日常汇报系列,大家有兴趣的可以看一看 📘相关专栏C语言初阶、C语言进阶系列、恒川等,大家有兴趣的可以看一看 📙Python零基础入门系列,J

    2024年02月10日
    浏览(49)
  • 京东接口对接流程(以下举例物流接口):

    1.注册成为京东宙斯开发者 2.创建应用 控制中心 – 已经应用类型选择京东物流 – 二级应用类型选择青龙应用 注:选择的接口在和京东对接联调的时候可以咨询京东开发者 3.等待审核通过 创建好了应用后等待审核 4.审核通过,设置回调URL并且获取Appkey、App Secret、access_toke

    2024年02月12日
    浏览(69)
  • 初探webAssembly | 京东物流技术团队

    一种运行在现代网络浏览器中的新型代码,并且提供新的性能特性和效果 W3C WebAssembly Community Group开发的一项网络标准,对于浏览器而言,WebAssembly 提供了一条途径,让各种语言编写的代码以接近原生的速度在 Web 中运行。在这种情况下,以前无法以此方式运行的客户端软件等

    2024年02月15日
    浏览(39)
  • 从实践中学习Kali Linux渗透测试

    目录 第一章 渗透测试概述 1.1 什么是渗透测试 1.1.1 黑盒测试 1.1.2 白盒测试 1.1.3 灰盒测试 1.2 渗透测试流程 1.3 Kali Linux系统概述 1.3.1 为什么使用Kali Linux 1.3.2 Kali Linux发展史 1.4 法律边界 1.4.1 获取合法权限 1.4.2 部分操作的危害性 第二章 安装Kali Linux系统 2.1 下载镜像 2.1.1 获取

    2023年04月08日
    浏览(43)
  • 黄金眼PAAS化数据服务DIFF测试工具的建设实践 | 京东云技术团队

    黄金眼PAAS化数据服务是一系列实现相同指标服务协议的数据服务,各个服务间按照所生产指标的主题作划分,比如交易实时服务提供实时交易指标的查询,财务离线服务提供离线财务指标的查询。黄金眼PAAS化数据服务支撑了黄金眼APP、黄金眼PC和内部各类大屏的数据查询需求

    2024年02月07日
    浏览(62)
  • 事务,不只ACID | 京东物流技术团队

    1. 什么是事务? 应用在运行时可能会发生数据库、硬件的故障,应用与数据库的网络连接断开或多个客户端端并发修改数据导致预期之外的数据覆盖问题,为了提高应用的可靠性和数据的一致性, 事务 应运而生。 从概念上讲,事务是 应用程序将多个读写操作组合成一个逻

    2024年02月13日
    浏览(48)
  • 极智嘉x吉利汽车 x京东物流,引领汽车行业智慧物流新变革!

    近日,中国领先的汽车制造商吉利汽车携手中国领先的技术驱动的供应链解决方案及物流服务商京东物流、全球仓储机器人引领者极智嘉(Geek+),在西安吉利汽车制造基地RDC仓库率先落地SkyPick上存下拣解决方案,实现了全物流链精益化、智能化、一体化管理,创造了汽车行业

    2024年02月11日
    浏览(40)
  • 渗透安全及渗透测试流程教学

    网络安全的定义 什么是网络安全? 1、国际化标准组织(ISO)引用ISO-74982文献中对安全的定义:安全就是最大程度地减少数据和资源被攻击的可能性。 2、《计算机信息安全系统保护条例》中的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概述:“计算机信

    2024年02月02日
    浏览(65)
  • 浅谈常态化压测 | 京东物流技术团队

    常态是指:“正常的状态”;“化”在这里是表示转变为某种性质或状态。 “常态化”的含义就是:趋向正常的状态。 那么常态化压测顾名思义就可以解释为,让压测趋于正常的状态,趋于合理 ;因此通过调研给了如下定义:常态化压测是指在某个产品或系统上进行自定义

    2024年02月16日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包