• Web安全测试指南--认证


    认证:

    5.1.1、敏感数据传输:

    编号

    Web_Authen_01_01

    用例名称

    敏感数据传输保密性测试

    用例描述

    测试敏感数据是否通过加密通道进行传输以防止信息泄漏。

    严重级别

    前置条件

    1、  已明确定义出敏感数据范围(比如口令、短信验证码和身份证号等)。

    2、  目标web应用可访问,业务正常运行。

    3、  已安装http拦截代理(burpfiddlerwebscarab均可)。

    执行步骤

    1、  开启burp,设置对http请求进行拦截,并在浏览器中配置代理。

    2、  访问web页面并提交敏感数据(比如账户登录和修改密码等)。

    3、  burp拦截到的http请求中,检查敏感数据是否使用https协议传输。

    预期结果

    敏感数据是否使用https协议传输

    测试结果

    备注

    常见的敏感数据有用户口令、用户个人信息和session ID等等,但也有一些是和业务强相关的,需要结合业务进行判定。

    编号

    Web_Auth_01_02

    用例名称

    敏感数据HTTP传输方法测试

    用例描述

    测试敏感数据是否通过POST方法进行提交以防止信息泄漏。

    严重级别

    前置条件

    1、  已明确定义出敏感数据范围(比如口令、短信验证码和身份证号等)。

    2、  目标web应用可访问,业务正常运行。

    3、  已安装http拦截代理(burpfiddlerwebscarab均可)。

    执行步骤

    1、  开启burp,设置对http请求进行拦截,并在浏览器中配置代理。

    2、  访问web页面并提交敏感数据(比如登录和修改密码等)。

    3、  burp拦截到的http请求中,检查敏感数据是否使用POST进行提交。

    预期结果

    敏感数据使用POST方法进行提交。

    测试结果

    备注

    使用GET提交请求数据可能会被记录在web server日志或缓存在浏览器。

    5.1.2、锁定策略:

    编号

    Web_ Authen_02

    用例名称

    账户锁定策略测试

    用例描述

    锁定策略用来缓解口令等敏感数据被恶意攻击者尝试暴力破解。

    严重级别

    前置条件

    1、  存在登录页面。

    2、  目标web应用可访问,业务正常运行。

    3、  不存在图形验证码等其它防暴力破解措施。

    执行步骤

    1、  打开登录页面。

    2、  使用正确的账户名和错误的口令尝试登录N次。

    3、  使用正确的账户和口令登录。

    4、  如果系统返回类似“账户被锁定”这样的提示则继续往下测试,否则测试结束。

    5、  等待M-1分钟后,重新使用正确的账户和口令登录。

    6、  如果系统返回类似“账户被锁定”这样的提示则继续往下测试,否则测试结束。

    7、  等待M-1分钟后,重新使用正确的账户和口令登录。

    8、  检查返回结果。

    预期结果

    1、  执行步骤46中,系统返回类似“账户被锁定”这样的提示。

    2、  执行步骤8中,成功登录账户,账户被解锁。

    测试结果

    备注

    1、  N一般建议取值小于等于10,而M一般建议取值大于等于10

    2、  锁定策略不仅仅是针对账户口令的,而是针对所有可通过暴力破解获得的敏感数据,比如:短信验证码、找回密码的问答等。

    3、  锁定策略不仅仅针对于web接口,同样适用于其它协议的接口,比如:FTPSNMP等。

    5.1.3、认证绕过:

    编号

    Web_ Authen_03

    用例名称

    认证绕过测试

    用例描述

    测试访问受限数据时是否需要认证以及是否可以绕过认证。

    严重级别

    前置条件

    1、  已明确定义出受限数据范围(比如:web页面和静态配置文件等)。

    2、  目标web应用可访问,业务正常运行。

    3、  拥有登录访问web服务器后台的权限。

    执行步骤

    1、  登录web服务器后台,进入web应用根目录(比如wwwROOT)。

    2、  根据web目录结构和受限访问文件的路径构建 HTTP URL。比如:路径为/ROOT/admin/changePwd.php的文件构建出来的HTTP URL可能为:http://www.example.com/admin/changePwd.php

    3、  打开浏览器,并在浏览器中访问由步骤2构建的URL,观察返回结果。

    预期结果

    服务器返回要求登录认证或拒绝访问。

    测试结果

    备注

    本测试用例偏向于灰盒测试,即拥有登录后台的权限,实际也可以用工具进行扫描,但效果没那么明显,具体参考《常见安全工具使用指南》。

    5.1.4、复杂度策略:

    编号

    Web_ Authen_04

    用例名称

    口令复杂度策略测试

    用例描述

    测试目标系统是否存在足够安全的口令复杂度策略。

    严重级别

    前置条件

    1、  已知明确的口令复杂度策略。

    2、  目标web应用可访问,业务正常运行。

    3、  存在可以设置口令的功能(注册用户、找回和修改密码等)。

    4、  拥有常见的弱口令列表(非必须)。

    执行步骤

    1、  登录业务系统并打开可以设置口令的页面。

    2、  输入任意小于6位长度的字符串(比如abc12)并提交。

    3、  输入长度大于等于6位,分别由数字、大写普通字符[A-Z]、小写普通字符[a-z]和特殊字符单独组成的字符串并提交(比如 123456,abcdef!@#$%^等)。

    4、  分别观察步骤2和步骤3的结果。

    预期结果

    1、  步骤2出现类似“口令过短”的提示信息。

    2、  步骤3出现类似“不能全为数字/字母”等提示信息。

    测试结果

    备注

    1、  口令复杂度不仅仅适用于口令本身,对于可用来鉴别对象身份的任意凭证都需要设置适合的复杂度,比如:短信验证码和设备验证码等。

    2、  本用例的口令复杂度策略适用于大多数情况,但其和业务对安全需求的强度有很大的关系,对于安全性高的业务(比如管理系统),可能要求设置更加复杂的口令复杂度,因此,应和业务结合进行测试。

    3、  建议口令复杂度策略可配置,可参考的强口令复杂度策略选项如下:

    l  口令必须包含数字、大写普通字符[A-Z]、小写普通字符[a-z]和特殊字符中的3项。

    l  口令存在一个明确的有效期限,建议3个月。

    l  最近使用过的N个口令不能在新口令中使用,建议N取值8

    l  口令中不能出现连续N个字符(比如:aaa123),建议N取值3

    l  口令不存在于常见弱口令列表中(比:abc123qwerty等)。

    l  口令不能够和用户名以及用户名的反向字符串相同。

    l  使用默认口令登录的用户要求强制或提示修改口令。

    5.1.5、问答策略:

    编号

    Web_ Authen_05

    用例名称

    修改口令功能安全性测试

    用例描述

    测试修改口令功能是否存在缺陷。

    严重级别

    前置条件

    1、  业务系统存在使用问答策略的功能(比如:注册或找回密码)。

    2、  目标web应用可访问,业务正常运行。

    执行步骤

    1、  登录业务系统,进入使用问答策略的功能(比如:找回密码)。

    2、  检查业务系统预先设定的给用户选择的问题是否存在以下问题:

    2.1、问题的答案和家庭成员或者朋友有关。比如某个家庭成员的名字或者用户本人的生日等。

    2.2、问题的答案容易猜解或通过搜索引擎获得,比如:“我喜欢的颜色/球队”和“我的第一所学校”等。

    3、  检查问答系统是否实施锁定策略以防止暴力破解答案(参考用例:“锁定策略”)。

    4、  检查业务系统是否允许自定义问题和答案,如果是,确认是否定义任意简单的问题和答案。比如:“11等于几?”

    预期结果

    1、  业务系统预设问题不存在步骤2所述的问题。

    2、  问答系统满足“锁定策略”要求。

    3、  问答系统不能任意自定义问题和答案。

    测试结果

    备注

    本测试用例带有一定的主观性,当难以对于系统预设问题进行有效判断时,可以尝试多个人一起判断得出结论。

    5.1.6、短信验证码:

    编号

    Web_ Authen_06

    用例名称

    短信验证码安全性测试

    用例描述

    测试短信验证码的安全性设计是否存在缺陷。

    严重级别

    前置条件

    1、  业务系统存在使用短信验证码的功能模块。

    2、  目标web应用可访问,业务正常运行。

    3、  已安装http拦截代理(burpfiddlerwebscarab均可)。

    执行步骤

    1、  开启burp,设置对http请求进行拦截,并在浏览器中配置代理。

    2、  登录业务系统,进入使用短信验证码的功能模块(比如:找回密码),并提交获取短信验证码的请求。

    3、  将拦截到的http请求转入burp repeater,并在burp repeater中反复提交该请求,检查业务系统是否实施锁定策略来防止恶意滥发短信(参考用例:“锁定策略”)。

    4、  尝试多次提交获取短信验证码,检查短信验证码是否存在复杂度策略(参考备注1)。

    5、  在获取到短信验证码后,等待30分钟,然后提交使用该短信验证码,检查是否返回类似“短信验证码过期”的信息。

    6、  使用burp将提交使用短信验证码的请求拦截并转入burp repeater,在burp repeater中反复重放该请求,检查服务器是否会返回“短信验证码失效”的信息或者相关错误码。

    7、  检查短信网关接口是否对外开放,如果是,检查直接在浏览器上输入短信网关地址是否可以向任意号码发短信。比如,网关地址可能如下:

    http://www.example.com/sms/smsNetgateServlet?phone=xxx&content=xxx

    预期结果

    1、  步骤3中,业务系统返回类似“使用过于频繁”的信息。

    2、  步骤4中,短信验证码满足备注1的复杂度。

    3、  步骤5中,服务器返回类似“短信验证码过期”的信息。

    4、  步骤6中,服务器返回“短信验证码失效”的信息或者相关错误码。

    5、  步骤7中,服务器网关地址不对外开放,如果开放,只有登录用户才可以访问。

    测试结果

    备注

    1、出于用户体验考虑,短信验证码的复杂度策略一般是:

    l  14-6位长度。

    l  2、由纯数字或者由数字加普通字符组成。

    2、短信网关接口可通过研发接口人获取。

    5.1.7、修改密码:

    编号

    Web_ Authen_07

    用例名称

    修改密码功能安全性测试

    用例描述

    测试修改密码功能是否存在安全缺陷。

    严重级别

    前置条件

    1、  业务系统存在修改密码功能。

    2、  目标web应用可访问,业务正常运行。

    3、  已安装http拦截代理(burpfiddlerwebscarab均可)。

    执行步骤

    1、  开启burp,设置对http请求进行拦截,并在浏览器中配置代理。

    2、  登录web应用,并进入到修改密码功能页面。

    3、  检查是否需要旧密码才能修改新密码。

    4、  输入旧密码和新密码并提交。

    5、  burp拦截到的http请求中,检查旧密码和新密码是否在同一个请求中传输。

    6、  检查密码是否通过加密进行传输(参考用例:“敏感数据传输”)。

    7、  检查是否存在密码复杂度策略(参考用例:“口令复杂度策略”)。

    8、  反复提交错误的旧密码,检查是否对旧密码提交实施锁定策略(参考用例:“锁定策略”)。

    9、  检查修改密码的功能页面是否需要认证才能够访问(参考用例:“认证绕过”)。

    预期结果

    新旧密码在一个http请求中提交,并且满足“敏感数据传输”、“口令复杂度策略”、“锁定策略”和“认证绕过”的要求。

    测试结果

    备注

    5.1.8、找回密码:

    编号

    Web_ Authen_08

    用例名称

    找回密码测试

    用例描述

    测试找回密码功能是否存在安全缺陷。

    严重级别

    前置条件

    1、  业务系统存在找回密码功能。

    2、  目标web应用可访问,业务正常运行。

    3、  已安装http拦截代理(burpfiddlerwebscarab均可)。

    执行步骤

    1、  开启burp,设置对http请求进行拦截,并在浏览器中配置代理。

    2、  登录web应用,并进入到找回密码页面。

    3、  如果系统要求对用户预设的问题给出答案,则检查是否满足问答系统的安全要求(参考用例:“问答策略”)。

    4、  如果系统使用短信验证码进行验证,则检查是否满足短信验证码的安全要求(参考用例:“短信验证码”)。

    5、  如果在完成步骤3或者步骤4后,检查系统是否会将原始密码(即用户忘记的密码)返回给用户。

    6、  如果系统发一个重置密码的链接到用户注册的邮箱,检查该链接是否具有可预测性。比如:

    http://www.example.com/resetPwd.jsp?token=xxxxtoken的值是可预测的,可能是对用户名进行MD5的哈希值等等。

    7、  如果系统发送一个临时密码给用户,让用户使用该临时密码进行登录,检查该临时密码具有足够的复杂度(参考用例:复杂度策略)。

    8、  检查用户使用临时密码登录后系统是否强制要求用户修改密码。

    9、  如果在完成步骤3或者步骤4后,系统要求用户在当前页面内设置新密码,检查新密码和短信验证码或者问题的答案是否在同一个HTTP请求内进行提交。

    预期结果

    服务器返回要求登录认证或拒绝访问。

    测试结果

    1、  步骤3中,系统满足“问答策略”的安全要求。

    2、  步骤4中,系统满足“短信验证码”的安全要求。

    3、  步骤5中,系统不会将原始密码返回给用户。

    4、  步骤6中,重置密码的链接是不可预测的。

    5、  步骤7中,临时密码满足“复杂度策略”的要求。

    6、  步骤8中,系统强制要求用户修改临时密码。

    7、  步骤9中,新密码和短信验证码或者问题的答案在同一个HTTP请求内进行提交。

    备注

    步骤6中,重置密码链接的可预测性测试使用黑盒的方式效果并不是特别好,最好是跟研发人员一起确认生成session id的算法(比如:UUID)。

    5.1.9、图形验证码:

    编号

    Web_ Authen_09_01

    用例名称

    图形验证码设计测试

    用例描述

    测试图形验证码设计是否存在安全缺陷。

    严重级别

    前置条件

    1、  目标业务系统存在图形验证码模块,并且能将其激活,比如:连续输错多次密码,频繁进行某个操作等等。

    2、  目标web应用可访问,业务正常运行。

    执行步骤

    1、  使用浏览器打开目标系统的web登录页面,并激活图形验证码。

    2、  观察图形验证码字符长度。

    3、  检查图形验证码的图片背景是否为单一颜色(比如:纯白色、蓝色等)。

    4、  连续20次刷新并记录图形验证码,观察图形验证码的生成规律。

    5、  在存在图形验证码的页面上点击右键,选择“查看源文件”,在源文件中搜索当前显示的图像验证码,并观察结果。

    6、  在图形验证码图片上点击右键,选择“属性”,复制图形验证码的地址,重新在浏览器上多次刷新访问该地址,观察结果。

    预期结果

    1、  步骤2中,图形验证码长度应大于等于4

    2、  步骤3中,图形验证码的图片背景有干扰元素(比如:花点、条纹)。

    3、  步骤4中,不存在明显可预测规律,比如:1A1B1A2B2A2B等。

    4、  步骤5中,在源文件中查找不到当前显示的图形验证码。

    5、  步骤6中,在输入参数不变的情况下,生成的图形验证码随机变化。

    测试结果

    备注

    本用例基于IE浏览器攥写,步骤56在其它浏览器上有相对应的选项。

    编号

    Web_ Authen_09_02

    用例名称

    图形验证码逻辑测试

    用例描述

    测试图形验证码使用逻辑是否存在安全缺陷。

    严重级别

    前置条件

    1、  目标业务系统存在图形验证码模块,并且能将其激活,比如:连续输错多次密码,频繁进行某个操作等等。

    2、  目标web应用可访问,业务正常运行。

    3、  已安装http拦截代理(burpfiddlerwebscarab均可)。

    执行步骤

    1、  开启burp,设置对http请求进行拦截,并在浏览器中配置代理。

    2、  使用浏览器打开目标系统的web登录页面,并激活图形验证码。

    3、  输入正确的用户名、密码和正确的图形验证码并提交。

    4、  burp拦截到的http请求中观察用户名、密码和图形验证码是否在同一个http请求内提交,比如:

    POST /login.jsp HTTP/1.1  #登录接口

    Host: www.example.com

    [other HTTP headers]

    userName=admin&password=RightPwd& captcha=B8TP

    5、  burp拦截到的http请求转入burp repeater

    6、  burp repeater中将http请求中的用户名或密码以及图形验证码修改成错误的值,并重新提交,观察返回结果,比如:

    POST /login.jsp HTTP/1.1  #登录接口

    Host: www.example.com

    [other HTTP headers]

    userName=admin&password=WrongPwd& captcha=1234

    7、  burp repeater中将http请求中设置使用正确的用户名和图形验证码以及错误的密码并提交,比如:

    POST /login.jsp HTTP/1.1  #登录接口

    Host: www.example.com

    [other HTTP headers]

    userName=admin&password=WrongPwd& captcha= B8TP

    8、  重新将密码修改成正确的值(本例为RightPwd)并再次提交,观察目标系统的返回结果。

    预期结果

    1、  步骤4中,用户名、密码和图形验证码是在同一个http请求内提交。

    2、  步骤6中,目标系统返回类似“图型验证码错误”的提示信息或者相对应的错误代码,如果返回了类似“用户名或密码错误”的信息则表示后台在处理逻辑上存在漏洞。

    3、  目标系统返回类似“验证码错误/失效”的信息或者错误码。

    测试结果

    备注

    提示:如果IE显示不正常,请使用chrome浏览器

  • 相关阅读:
    HDU 1213 How Many Tables(并查集,简单)
    POJ 1611 The Suspects(并查集,简单)
    HDU 4539 郑厂长系列故事――排兵布阵(曼哈顿距离)
    POJ 2411 Mondriaan'sDream(状压DP)
    ZOJ 4257 MostPowerful(状压DP,简单)
    HDU 3001 Traveling(状压DP)
    POJ 3311 Hie with the Pie(Floyd+状态压缩DP)
    POJ 1185 炮兵阵地(状态压缩DP)
    POJ 3254 Corn Fields(状态压缩DP)
    XueXX and Chessboard(dp)
  • 原文地址:https://www.cnblogs.com/fishou/p/4202223.html
Copyright © 2020-2023  润新知