网站安全渗透测试的各种姿势
浏览:245 时间:2022-9-8

首先,改变安全测试的视角

我认为,无论是拥有全栈工作经验还是仅有部分技术专长,要想做好安全测试,首先要改变我们观查软件的视角。例如,让我们看一下同一幅画。很多人第一眼看到的是两张脸,但是很多人看到的是一个大花瓶。这是观查角的差异造成的。当我第一次接触安全测试时,我深深地感受到了这一点。当时我还在测试一个Web应用的账号登录功能。当我们尝试通过键入不正确的登录名登录时,计算机浏览器上的消息是“此登录名将不可用”。当我们尝试正确的登录名和不正确的登录密码时,消息提示变为“不正确的登录密码”我对这个明确的错误提示非常满意。想象一下,如果我是一个真正的终端产品,这个信息内容会帮助我缩小纠错范围,提高工作效率,这是非常好的。

然而,蹲在我身边的安全测试工程师立刻跳了出来:“这条信息提示必须更改!敏感信息内容被曝光!”看到我一脸茫然,安全测试工程师告诉我,根据我们的信息,系统软件的故意用户可以推断出系统软件中已经存在什么登录名,然后利用这个登录名对登录密码进行暴力破解密码,从而缩小破译范围。因此,这些信息内容不仅为合理合法的客户提供了便利,也为系统软件的恶意用户提供了便利。通常,这种便利对于系统软件的有意用户的好处远远高于对于合理合法客户的好处。

这次亲身经历不仅让我震惊,也让我意识到以前很多安全系统漏洞都摆在我眼前,但是我没有看到,因为我想的太多了。事实上,在我们亲身经历的不同新项目中,当我们改变视角时,我不必寻找一些安全系统漏洞,而只是来到我的眼前。这一切都很容易得到。

第二,改变测试中的模拟目标

为了从不同的角度观察软件,我们必须改变模拟目标。这也是我们一起练习换角的合理方式。我们在做非安全测试的时候通常会把自己当成一个合理合法的客户,然后才开始认证系统软件是否能够达到预设的总体目标。比如一个网上商城系统,我们会认证系统软件是否可以让客户访问和购买产品,我们还会测试一些异常的个人行为,比如购买的产品总数是否不是一个大数字,而是一串没有意义的英文字母,看看系统软件能否给出一个优雅的回复。我们测试的目的通常是为了确保客户在犯错后可以再次购买,换句话说,他们不必对系统软件造成任何严重的损坏。如果你想进行安全测试,你必须去另一种类型的用户——,预期用户——进行系统模拟。他们的目标是找到系统软件中可钻的系统漏洞。例如,同样是在线商城系统。意向客户的总体目标之一是找到用更少的钱甚至不用付钱就能得到产品的方法。所以,如果有心的客户进行“操作失误”,就不容易停留在“操作失误”上,而只是根据“操作失误”,似乎系统软件为自己展示了大量的案件线索。

因此,我们在测试的时候一定要改变模拟的目标,从合理合法的客户角度拉出逻辑思维,变成有意的客户。这需要一点时间,就像我们之前看到的画一样。如果我们一开始看到了脸,如果下次想第一眼看到大花瓶,一定要有时间刻意练习。

第三,专用测试工具的应用有逻辑思维的转化,可以增加新的测试思路。但是在实际的安全测试中,我们会发现模拟有意客户的个人行为并不是那么容易的。毕竟系统软件的前端开发会让我们设置很多天然的壁垒。而且故意客户不总是从系统软件进来。此时此刻,应用一些特殊的工具非常有帮助,比如OWASp。我们可以在操作界面上实现系统测试用例,使用这个特殊的工具获取http请求,这些请求被伪造并发送到后台管理网络服务器。有了这个好用易上手的专用工具,我们可以实现很多有心客户的实际操作场景。要保证这三点,进行安全测试就足够了。如果你想对你的网站或App进行安全测试,推荐几家专业的网站公司,如SINESAFE、鹰盾安全、启明星辰, 铵太科技等。

友情提醒:A5官方SEO服务为您提供权威网站优化解决方案,可快速解决网站流量和排名异常,网站排名无法突破瓶颈等服务:http://www.admin5.cn/seo/zhenduan/