Web安全测试

任何一个测试的开始都要制定一个完整的测试计划，现在我们就从web安全测试的测试计划开始
要做一个测试计划首先要明确测试需求。在写测试计划之前必须要明确测试需求，
暗含的要求：例如很少看到这样明确话的文档要求：“入侵这相应手册中不许友拼写错误”但同时有些组织是允许拼写错误存在的。这样暗含的要求我们就要明确，可以通过和主管部门或是用户沟通来明确这样的要求。
不完全的或模糊的要求
比如：“所有的网站都应该安装SP3补丁”这样的要求就是模糊不清的，因为没有指明是操作系统还是网站服务软件，或是某些具体的系统软件。这样的需求就应该有需求提出的人来明确，确定在什么系统上安装sp3补丁。
未指明的要求
如：“必须使用强密码”看起来还向没什么问题，但从测试观点看，设么是强密码呢？是常超过7个字符的，还是应该有大小写的。这样的要求我们就应该根据密码要求标准具体化，比如：要求密码加强必须大于7个字符。
笼统的要求
比如“站点必须是安全的”尽管每个人都会同意这个要求，但展点能够彻底安全的唯一方法就是，断开展点的所有连接，内网的外网的，然后锁在一个加了封条的屋子里。但是这并不是要求的本意。这样的要求应该具体化，制定要求达到的安全程度。
好了要求明确了，下面就说一下就话的结构。呵呵我也是学来的，照别人的说吧，也有我的体会
测试计划的结构
测试计划可以依照工业标准（例如软件文档标准——Std.829）组织，也可以基于内部摸版，甚至可以用创献礼的全新个是编排。但大家一定要注意一点，测试计划重要的不是个是而是创建测试计划的过程一定要获得测试组的认可。但有的测试必须用规格的测试计划格式，行业内部摸版或行业标准，这样的测试如：政府机构、保险承销商等。
测试计划可以长达几百页，也可以简单的只有一张纸，关键测试计划必须实用，也不必要把大量的人力和物理花费在测试计划上，要根据具体情况来确定。
根据IEEE Std.829-1998(软件测试文档标准1998年修订版)来介绍测试计划的内容
1.测试计划标题
就是说没个测试计划和每个测试计划的版本都应该有一个公司内部的独一无二标示，这也是文档控制和版本控制的基本要求，我觉得在正规公司的同仁们都应该明白。
2.介绍
这一部分适度测试的一个总的概括，通过这一部分一该让读者明白此项目的准确目标和测试组如何达到这些目标。根据情况也可以做一些基本概念的解释，比如为什么要做安全测试等等。
3项目范围
在这一部分中明确项目的测试目标，如果在介绍中已经描述的测试目标的话在这一部分应该详尽的介绍测试目标。同时在这一部分可以列出在测试中不设计的测试项。
4变动控制过程
这一部分主要是解决再测试中如果有需要变动的测试项应做如何处理，可参考CCB(变动控制委员会)的意见进行适当的变动。
5待测的特性（还没吃饭呢，同志们现在不写了好吗，等明天在写吧，好了写玩这一部分！坚持）
这一部分应该是对测试对象的描述，测试组应该对则是对象进行研究，对测试对象进行可行性检查。因该根据具体情况对测试项进行删改，比如：应该确定是否有足够的时间和资金来测试每一样特性。测试组极有可能没有得到想要的足够资源，在这种情况下，必须做出决定应重点测试哪些方面，而那些方面可以相对简单。达成这一点的方式是使用风险分析。（好了不行了，饿晕了，等有时间在写吧）未完待续

…… …… 余下全文

一、 Web 应用安全威胁分为如下六类：

Authentication（验证）

用来确认某用户、服务或是应用身份的攻击手段。

Authorization（授权）

用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。

Client-Side Attacks（客户侧攻击）

用来扰乱或是探测 Web 站点用户的攻击手段。

Command Execution（命令执行）

在 Web 站点上执行远程命令的攻击手段。

Information Disclosure（信息暴露）

用来获取 Web 站点具体系统信息的攻击手段。

Logical Attacks（逻辑性攻击）

用来扰乱或是探测 Web 应用逻辑流程的攻击手段

二、

应用威胁

常见针对 Web 应用攻击的十大手段

负面影响

标识盗窃，敏感数据丢失…

通过构造查询对数据库、LDAP 和其他系统进行非法查询。

后果

黑客可以模拟合法用户，控制其帐户。 黑客可以访问后端数据库信息，修改、盗窃。

跨网站脚本攻击 注入攻击

恶意文件执行 在服务器上执行 Shell 命令 Execute，获被修改的站点将所有交易传送给黑客 取控制权。

不安全对象引用 伪造跨站点请求 信息泻露和不正确的错误处理 被破坏的认证和 Session 管理 不安全的木马存储 不安全的通讯

黑客访问敏感文件和资源

黑客调用 Blind 动作，模拟合法用户 黑客得到详细系统信息

Web 应用返回敏感文件内容 黑客发起 Blind 请求，要求进行转帐 恶意的系统检测可能有助于更深入的攻击

Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。

过于简单的加密技术导致黑客破解编密码 隐秘信息被黑客解密盗窃 敏感信息在不安全通道中以非加密方式传送

黑客可以通过嗅探器嗅探敏感信息，模拟合法用户。

…… …… 余下全文

安全性测试

安全性测试主要是测试系统在没有授权的内部或者外部用户对系统进行攻击或者恶意破坏时如何进行处理，是否仍能保证数据和页面的安全。测试人员可以学习一些黑客技术，来对系统进行攻击。另外，对操作权限的测试也包含在安全性测试中。具体测试内容如下：

执行添加、删除、修改等动作中是否做过登录检测。
退出系统之后的操作是否可以完成。
所有插入表单操作中输入特殊字符是否可以正常输正常存储，特殊字符为：！?#￥%……—*（）~——-+=[]{}、|；：‘”？/《》<>，。
在带有参数的回显数据的动作中更改参数，把参数改为特殊字符并加入操作语句看是否出错。
测试表单中有没有做标签检测，标签检测是否完整。
在插入表单中加入特殊的HTML代码，例如：<marquee>表单中的字本是否移动？</marquee>。

系统安全性测试的十个重要问题

1:没有被验证的输入

测试方法：

数据类型（字符串，整型，实数，等）

允许的字符集

最小和最大的长度

是否允许空输入

参数是否是必须的

重复是否允许

数值范围

特定的值（枚举型）

特定的模式（正则表达式）

2:有问题的访问控制

测试方法：

主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址；

例：从一个页面链到另一个页面的间隙可以看到URL地址，直接输入该地址，可以看到自己没有权限的页面信息；

3:错误的认证和会话管理

分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。
浏览器缓存：认证和会话数据作为GET的一部分来发送
认证和会话数据不应该作为GET的一部分来发送，应该使用POST，
例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html语法解析出来；

…… …… 余下全文

工具扫描

目前web安全扫描器针对 XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。

商业软件web安全扫描器：有IBM Rational Appscan、WebInspect、Acunetix WVS 免费的扫描器：W3af 、Skipfish 等

根据业务资金，可以考虑购买商业扫描软件，也可以使用免费的，各有各的好处。

首页可以对网站进行大规模的扫描操作，工具扫描确认没有漏洞或者漏洞已经修复后，再进行以下手工检测。

手工检测

对于CSRF、越权访问、文件上传、修改密码 等漏洞，难以实现自动化检测的效果，这是因为这些漏洞涉及系统逻辑或业务逻辑，有时候还需要人机交互参与页面流程，因此 这类漏洞的检测更多的需要依靠手动测试完成。

手工检测网站URL、后台登陆是否具有SQL注入

Admin--

‘or --

‘ and ( ) exec insert * % chr mid

and 1=1 ; And 1=1 ; aNd

char(49)char(61)char(49) ; %20AND%201=2

‘and 1=1 ; ?And 1=1 ; ?aNd 1=1 ;

and 1=2 ; ?and 1=2

and 2=2

and user>0

and (select count(*) from sysobjects)>0

and (select count(*) from msysobjects)>0

and (Select Count(*) from Admin)>=0

and (select top 1 len(username) from Admin)>0(username 已知字段)

;exec master..xp_cmdshell “net user name password /add”—

…… …… 余下全文

建立整体的威胁模型，测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.

1. 输入验证

客户端验证 服务器端验证(禁用脚本调试，禁用Cookies)

1.输入很大的数（如4,294,967,269），输入很小的数(负数)

2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应

3.输入特殊字符,如:~!@#$%^&*()_+<>:”{}|

4.输入中英文空格，输入字符串中间含空格，输入首尾空格

5.输入特殊字符串NULL,null，0x0d 0x0a

6.输入正常字符串

7.输入与要求不同类型的字符，如: 要求输入数字则检查正值,负值,零值（正零，负零）,小数,字母,空值; 要求输入字母则检查输入数字

8.输入html和javascript代码

9.对于像回答数这样需检验数字正确性的测试点，不仅对比其与问题最终页的回答数，还要对回答进行添加删除等操作后查看变化

例如：

1.输入<html”>”gfhd</html>,看是否出错；

2.输入<input type=”text” name=”user”/>,看是否出现文本框；

3.输入<script type=”text/javascript”>alert(“提示”)</script>看是否出现提示。

关于上传：

1.上传文件是否有格式限制,是否可以上传exe文件；

2.上传文件是否有大小限制,上传太大的文件是否导致异常错误,上传0K的文件是否会导致异常错误,上传并不存在的文件是否会导致异常错误；

3.通过修改扩展名的方式是否可以绕过格式限制，是否可以通过压包方式绕过格式限制；

4.是否有上传空间的限制,是否可以超过空间所限制的大小,如将超过空间的大文件拆分上传是否会出现异常错误。

…… …… 余下全文

web系统性能测试报告

1. 总述

1.1 测试对象

web系统

（数据库建表sql的版本是20060228-1）

（程序代码的版本是20060310-1）

1.2 测试目的

确定系统支持的最大并发用户数

（系统的处理能力能达到2次请求/分钟）

1.3 测试环境

1.4 测试依据

1.5 参考资料

1.6 术语及缩写词

        测试时间：一轮测试从开始到结束所使用的时间

        并发线程数：测试时同时访问被测系统的线程数。注意，由于测试过程中，每个线程都是以尽可能快的速度发请求，与实际用户的使用有极大差别，所以，此数据不等同于实际使用时的并发用户数。

        每次时间间隔：测试线程发出一个请求，并得到被测系统的响应后，间隔多少时间发出下一次请求。

        平均响应时间：测试线程向被测系统发请求，所有请求的响应时间的平均值。

        处理能力：在某一特定环境下，系统处理请求的速度。

        cache影响系数：测试数据未必如实际使用时分散，cache在测试过程中会比实际使用时发挥更大作用，从而使测试出的最高处理能力偏高，考虑到这个因素而引入的系数。

        用户习惯操作频率：根据用户使用习惯估算出来的，单个用户在一段时间内，使用此类功能的次数。通常以一天内某段固定的高峰使用时间来统计，如果一天内没有哪段时间是固定的高峰使用时间，则以一天的工作时间来统计。

…… …… 余下全文

XXX Web系统性能测试报告样例

1. 总述

1.1 测试对象

XXX Web系统

1.2 测试目的

确定系统支持的最大并发用户数

1.3 测试环境

1.4 测试依据

1.5 参考资料

1.6 术语及缩写词

l  测试时间：一轮测试从开始到结束所使用的时间

l  并发线程数：测试时同时访问被测系统的线程数。注意，由于测试过程中，每个线程都是以尽可能快的速度发请求，与实际用户的使用有极大差别，所以，此数据不等同于实际使用时的并发用户数。

l  每次时间间隔：测试线程发出一个请求，并得到被测系统的响应后，间隔多少时间发出下一次请求。

l  平均响应时间：测试线程向被测系统发请求，所有请求的响应时间的平均值。

l  处理能力：在某一特定环境下，系统处理请求的速度。

l  cache影响系数：测试数据未必如实际使用时分散，cache在测试过程中会比实际使用时发挥更大作用，从而使测试出的最高处理能力偏高，考虑到这个因素而引入的系数。

l  用户习惯操作频率：根据用户使用习惯估算出来的，单个用户在一段时间内，使用此类功能的次数。通常以一天内某段固定的高峰使用时间来统计，如果一天内没有哪段时间是固定的高峰使用时间，则以一天的工作时间来统计。

l  预期平均响应时间：由用户提出的，希望系统在多长时间内响应。注意，这个值并不是某一次访问的时间，而是一段时间多次访问后的平均值。

l  最大并发用户数：在给定的预期平均响应时间下，系统最多能支持多少个并发用户。这个数据就是实际可以同时使用系统的用户数。

1.7 计算公式

l  成功率＝成功次数÷（成功次数＋失败次数）

l  处理能力＝成功次数÷测试时间

l  最短平均响应时间＝MIN（平均响应时间）

…… …… 余下全文