• 《安全测试指南》——配置管理测试【学习笔记】


    配置管理测试

     

    1、网路和基础设置配置测试(OTG-CONFIG-001)

      测试方法:已知服务器漏洞(APache、IIS等)。略。

     

    2、应用平台配置测试(OTG-CONFIG-002)

      测试方法

        a. 黑盒测试:已知web服务器文件和目录;注释审查

        b. 灰盒测试:

          · 只启用应用程序需要的服务模块。

          · 处理服务器错误(40x或50x),使用定制页面代替web服务页面。

          · 确保服务器软件在操作系统中以最小化权限运行。

          · 确保服务器软件正确地记录了合法的访问和错误异常的日志。

          · 确保服务器被配置了正确的处理过载和防止DOS攻击。

          · 永远不要允许非管理员身份(除NT SERVICEWMSvc)去访问applicationHost.config,redirection.config和administration.config(任何读或写访问权限)

          · 永远不要再网络上向外共享applicationHost.config,redirection.config和administration.config。

          · 所有用户能默认读取.NET 框架 machine.config和 root web.config文件,不要把敏感信息存储到这些文件中。除非只有管理员能查看。

          · 在同一机器上只有IIS工作进程可以被读取,而其他用户不能看到的敏感信息应该被加密。

          · 不能给予web服务器用户访问共享的applicationHost.config 写权限。

          · 使用单独的身份来发布applicationHost.config 共享,不要使用此用户身份在web服务器去配置共享配置文件的访问权限。

          · 导出共享配置文件的加密密钥时,要用强密码进行保护。

          · 始终限制访问包含共享的配置文件和加密密钥目录。

          · 考虑通过防火墙规则和IPSec技术,只允许web服务器成员连接到共享文件。

        c. 日志

          存在敏感信息的日志

          日志位置(单独的日志服务器)

          日志存储(可能被dos攻击)

          日志轮转迭代

          日志访问控制

          日志审核

     

    3、敏感信息文件扩展处理测试(OTG-CONFIG-003)

      确定web服务器如何处理包含不同扩展名对应的请求,也许能帮助你理解web 服务器对于不同类型文件访问的行为模式。   

      测试方法

        a. 强制浏览

        b. 文件上传

        c. 灰盒测试

      工具:Nessus,Nikto。 

     

     4、对旧文件、备份和未被引用文件的敏感信息的审查(OTG-CONFIG-004)

       测试方法

        黑盒测试:

        a、根据发布的内容对命名模式推断(如:viewuser.asp可以推出可能含edituser.asp,adduser.asp,deleteuser.asp;/app/user可以推出可能含/app/admin,/app/manager)

        b、发布内容的其他线索(注释)

        c、盲猜

        d、通过服务器漏洞和错误配置获取信息

        e、使用公开资源获取信息(搜索引擎归档文件)

        f、文件名过滤绕过(基于正则的黑名单过滤)

        灰盒测试:周期性地在后台执行任务来检查带有文件扩展名的文件,并确定是文件副本或备份文件,并且定期执行手动检查。

      工具:Nessus,Nikto,Wikto。 

     

    5、枚举基础设施和应用程序管理界面(OTG-CONFIG-005)

      主要测试某些特权功能收被一个没有授权的用户或一般用户访问。(未经授权访问)

      测试方法

        黑盒测试:

          目录和文件的枚举。

          存在很多可获取的工具可对服务器内容执行暴力攻击。

          在源代码中的注释和链接。

          审查服务器和应用程序文档。

          公共可获取的信息。

          任意服务器端口。

          参数的篡改。(如:cookie)

        灰盒测试:源代码审查。

      工具:Dirbuster、THC-HYDRA。

     

    6、HTTP方法测试(OTG-CONFIG-006)

      主要测试不安全的http方法。(PUT、DELETE、CONNECT、TRACE)

      测试方法

        用netcat或telnet。(options HTTP测试方法)

        a、测试任意HTTP方法

          找一个存在安全访问限制的页面,用JEFF方法发出请求,若不支持,会发出错误页面(405,501)

          

          否则继续攻击:JEFF    /admin/changePw.php?member=myAdmin&passwd=123&confirm=123

                 FOOBAR /admin/createUser.php?member=myAdmin

                 CATS /admin/groupEdit.php?group=Admins&member=myAdmin&action=add

        b、测试HEAD访问控制绕过

          找一个存在安全访问限制的页面,用JEFF方法发出请求,若不支持,会发出错误页面(405,501),说明没问题。

          若出现200OK,则有可能应用程序在处理请求时没有授权和认证体系。 (同上)   

            HEAD  /admin/changePw.php?member=myAdmin&passwd=123&confirm=123

     

            HEAD /admin/createUser.php?member=myAdmin

     

            HEAD /admin/groupEdit.php?group=Admins&member=myAdmin&action=add

      工具:NetCat

     

     

    7、HTTP强制安全传输测试(OTG-CONFIG-007)

      HTTP强制安全传输(HSTS)头,要求web站点与web浏览器之间的流量交换始终基于HTTPS之上,有助于没有加密的信息在传输过程中受到保护。

      主要检查使用这个头的web是否会有如下安全问题:

        · 嗅探网络流量并且查看再文加密通道上传输的信息。

        · 中间人攻击

        · 用户错误地输入HTTP代替HTTPS,或用户点击了一个在web内错误关联HTTP协议的链接。

      测试方法

        通过劫持代理并检查服务器响应的HSTS头

        或是用curl指令:

          ¥ curl  -s -D- https://test.com/ | grep Strict

        期望:

          Strict-Transport-Security:max-age=...

     

    8、RIA跨域策略测试(OTG-CONFIG-008)

       富网络应用程序(RIA)通过domain.xml策略文件允许跨域访问控制,所以,一个域可以授予一个不同的域从远程访问它的服务。若策略文件配置不当,将导致跨站点伪装攻击等。

      测试方法

        取出应用程序中的crossdomain.xml和clientaccesspolicy.xml文件。检查所允许的因为最小的权限原则。存在“*”的配置策略应密切检查。

        如:

          <cross-domian-policy>

          <allow-access-from domain="*" />

          </cross-domian-policy>

        期望结果:一个策略文件列表被发现了;存在缺点的策略配置。

      工具:Nikto,OWASP Zed Attack Proxy Project,W3af。

     

     

     

     

    *本文仅为《安全测试指南》一书的学习笔记

  • 相关阅读:
    5月27 开通博客啦
    源码编译安装mysql-boost-5.7.16.tar.gz报错分析处理
    MHA实践操作
    (转)MySQL高可用方案MHA的部署和原理
    Mysql利用binlog日志恢复数据操作(转)
    生产环境mysql数据库主从恢复从数据库 -- flush tables with read lock;
    带着问题学习openstack
    openstack的网络模式(转)
    openstack 镜像初始化root登录密码
    openstack placement 组件作用理解
  • 原文地址:https://www.cnblogs.com/4wheel/p/11488079.html
Copyright © 2020-2023  润新知