一、安全測試概述

程序員在開發(fā)過程中，會有意或無意地埋下一些漏洞，而發(fā)現這些安全性漏洞，尋求有效的解決方法則是測試工程師義不容辭的責任。

安全測試主要涉及以下內容：

1、認證與授權

授權：在網站中不同的角色有不同的權限。

認證：一些網頁訪問需要輸入密碼進行登錄認證。

在認證與授權中要盡可能避免出現漏洞，否則將被不法分子有意地進行利用。

2、Session與Cookie

Session在網絡應用中稱為“會話控制”，是保存在服務器端的數據或者文件；

cookie是保存在客戶端電腦上的文件；

cookie很容易通過某種手段獲取到我們的權限以及一些隱私信息；session ID是唯一的標記，一旦別人通過cookie欺騙等手段獲取了session ID，可以將其作為協(xié)議包發(fā)給服務器，從而就擁有了我們的權限。

3、DDOS分布式拒絕服務攻擊

分布式拒絕服務攻擊（DDOS）指的是借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動攻擊，從而成倍地提高拒絕服務攻擊的威力。

通常，攻擊者盜用別人的賬號將DDOS主控程序安裝在一個計算機上，代理程序安裝在網絡上的許多計算機上，在一個設定的時間，主控程序將與大量代理程序進行通訊。代理程序收到指令就發(fā)動攻擊，從而占用服務器的資源，無法正常向用戶提供服務。

任何事物的發(fā)展都是有利有弊的，高速廣泛連接的網絡也不例外。一方面網絡給大家?guī)砹吮憬荩硪环矫嬉矠镈DOS攻擊創(chuàng)造了極為有利的條件。在低速網絡時代時，由于技術的限制，黑客占領攻擊用的傀儡機時，總是會優(yōu)先考慮離目標網絡距離近的機器。而在如今網絡高速發(fā)展、廣泛連接的信息化時代，數據傳輸不再是問題，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，從而作為攻擊的傀儡機可以分布在更大的范圍，選擇起來更靈活了。

被DDOS攻擊時的現象：

1）被攻擊主機上會有大量等待的TCP連接；

2）網絡中充斥著大量的無用的數據包，源地址為假；

3）制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊；

4）利用受害主機提供的服務或傳輸協(xié)議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求；

4、文件上傳漏洞

文件上傳漏洞是指用戶上傳了一個可執(zhí)行的腳本文件，并通過此腳本文件獲得了執(zhí)行服務器命令的能力。

大部分的網站和應用系統(tǒng)都具備上傳功能，例如用戶頭像上傳，圖片上傳，文檔上傳，視頻上傳等。由于實現文件上傳的代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，導致允許攻擊者向某個目錄上傳任意PHP文件，并能夠將這些文件傳遞給PHP解釋器，就可以在遠程服務器上執(zhí)行任意PHP腳本。

當系統(tǒng)存在文件上傳漏洞時攻擊者可以將病毒，木馬，其他惡意腳本或者是包含了腳本的圖片上傳到服務器，這些文件將對攻擊者后續(xù)攻擊提供便利。根據具體漏洞的差異，此處上傳的腳本可以是正常后綴的PHP，ASP以及JSP腳本，也可以是篡改后綴后的這幾類腳本。

5、XSS跨站攻擊

XSS跨站攻擊指的是攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。

XSS漏洞是目前為止發(fā)現的在所有網站超過80%比例的定制Web應用程序中最常見的漏洞。XSS主要攻擊的是用戶，例如釣魚網站獲取別的用戶的Session ID，通過別人的輸入來獲取關鍵信息。

XSS是一種攻擊技術，它使得加載在用戶的Web瀏覽器上的網站出現攻擊者提供的可執(zhí)行代碼，當黑客利用該存在漏洞的網站作為攻擊對象時，用戶理所當然的成為受害者。

跨站攻擊的類型包含持久型跨站、非持久型跨站、DOM跨站，不同的跨站類型，有不同的跨站特點與區(qū)別，但又有跨站之間的相互聯(lián)系。

存儲型XSS，持久化，代碼是存儲在服務器中的，如在個人信息或發(fā)表文章等地方，加入代碼，如果沒有過濾或過濾不嚴，那么這些代碼將儲存到服務器中，用戶訪問該頁面的時候觸發(fā)代碼執(zhí)行。這種XSS比較危險，容易造成蠕蟲，盜竊cookie等。

反射型XSS，非持久化，需要欺騙用戶自己去點擊鏈接才能觸發(fā)XSS代碼（服務器中沒有這樣的頁面和內容），一般容易出現在搜索頁面。

DOM跨站攻擊是最隱蔽型的攻擊，也就是說輸出內容在源碼里面看不到，不是直接輸出的。

6、SQL注入

通過任何可以輸入的地方，向服務器端注入信息，是普遍的攻擊方式。

總體來說就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。

具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執(zhí)行SQL語句。

不知道設計者的SQL語句，不知道用戶名，密碼，采用這種暴力破解，準備足夠多的賬號信息，不停地進行試驗，總可以找到用戶名，密碼。快速破解需要借助于代碼，而不是人工主要采用的方式。

7、跨站請求偽造（CSRF）

跨站請求偽造（CSRF）指的是攻擊者控制受害者的計算機，強迫受害者的瀏覽器向一個易受攻擊的Web應用程序發(fā)送請求，最后達到攻擊者所需要的操作行為。惡意請求會帶上瀏覽器的Cookie，受攻擊的Web應用信任瀏覽器的Cookie。

二、安全測試類型詳解

1、認證與授權

盡量避免未被授權的頁面可以直接訪問，應該對每個頁面都有一個session變量的判斷。如果沒有判斷只要用戶知道URL地址就能進行訪問。

測試方法：在不登陸的情況下，使用絕對URL地址對頁面進行訪問，能否正常訪問，絕對URL地址直接通過httpwatch對每個請求進行獲取。

2、session與cookie

避免保存敏感信息到cookie文件中，cookie的保存可以提高用戶的體驗。

作用域：

Set-Cookie：PHPSESSIONID= ;pash=/相對于根目錄而言的，如C：\xampp\htdocs就是根目錄，agileone保存的信息是在phpwind是能讀取到的，相互之間是同樣的作用域，兩個系統(tǒng)可以交叉讀取cookie信息。

解決辦法是：不同的應用系統(tǒng)不同的作用域，如將agileone和phpwind兩個應用配置在不同的作用域當中：即可修改代碼path=/agileone，path=/phpwind.

3、DDOS拒絕服務攻擊

（1）分布式的拒絕服務式攻擊（攻擊服務器的電腦分布在不同地方向服務器發(fā)送請求）的兩種方式

1）使用肉機

通過設置木馬讓很多電腦受遠程控制，幫忙執(zhí)行病毒程序，服務器防火墻無法通過封鎖IP的方式進行處理，唯一的解決辦法就是服務器夠強大；

2）形成攻擊聯(lián)盟

很多人聯(lián)合起來對同一個網站發(fā)起攻擊，對網站流量形成一定壓力，對同一網站造成傷害。