- Owasp Testing Guide v4
- 说明
- 1. 序
- 2. 简介
- 3. OWASP测试框架
-
4.
Web应用安全测试
- 4.1. 简介与目标
-
4.2.
信息收集
- 4.2.1. 搜索引擎信息发现和侦察 (OTG-INFO-001)
- 4.2.2. 识别web服务器 (OTG-INFO-002)
- 4.2.3. web服务器元文件信息发现 (OTG-INFO-003)
- 4.2.4. 服务器应用应用枚举 (OTG-INFO-004)
- 4.2.5. 评论信息发现 (OTG-INFO-005)
- 4.2.6. 应用入口识别 (OTG-INFO-006)
- 4.2.7. 识别应用工作流程 (OTG-INFO-007)
- 4.2.8. 识别web应用框架 (OTG-INFO-008)
- 4.2.9. 识别web应用程序 (OTG-INFO-009)
- 4.2.10. 绘制应用架构图 (OTG-INFO-010)
- 4.3. 配置以及部署管理测试
- 4.4. 身份鉴别管理测试
-
4.5.
认证测试
- 4.5.1. 口令信息加密传输测试 (OTG-AUTHN-001)
- 4.5.2. 默认口令测试 (OTG-AUTHN-002)
- 4.5.3. 帐户锁定机制测试 (OTG-AUTHN-003)
- 4.5.4. 认证绕过测试 (OTG-AUTHN-004)
- 4.5.5. 记住密码功能测试 functionality (OTG-AUTHN-005)
- 4.5.6. 浏览器缓存弱点测试 (OTG-AUTHN-006)
- 4.5.7. 密码策略测试 (OTG-AUTHN-007)
- 4.5.8. 安全问答测试 (OTG-AUTHN-008)
- 4.5.9. 密码重置测试 (OTG-AUTHN-009)
- 4.5.10. 其他相关认证渠道测试 (OTG-AUTHN-010)
- 4.6. 授权测试
- 4.7. 会话管理测试
-
4.8.
输入验证测试
- 4.8.1. 反射型跨站脚本测试 (OTG-INPVAL-001)
- 4.8.2. 存储型跨站脚本测试 (OTG-INPVAL-002)
- 4.8.3. HTTP谓词伪造测试 (OTG-INPVAL-003)
- 4.8.4. HTTP参数污染测试 (OTG-INPVAL-004)
- 4.8.5. SQL注入测试 (OTG-INPVAL-005)
- 4.8.6. LDAP注入测试 (OTG-INPVAL-006)
- 4.8.7. ORM注入测试 (OTG-INPVAL-007)
- 4.8.8. XML注入测试 (OTG-INPVAL-008)
- 4.8.9. SSI注入测试 (OTG-INPVAL-009)
- 4.8.10. XPath注入测试 (OTG-INPVAL-010)
- 4.8.11. IMAP/SMTP注入测试 (OTG-INPVAL-011)
- 4.8.12. 代码注入测试 (OTG-INPVAL-012)
- 4.8.13. 命令执行注入测试 (OTG-INPVAL-013)
- 4.8.14. 缓冲区溢出测试 (OTG-INPVAL-014)
- 4.8.15. 潜伏式漏洞测试 (OTG-INPVAL-015)
- 4.8.16. HTTP分割/伪造测试 (OTG-INPVAL-016)
- 4.9. 错误处理测试
- 4.10. 密码学测试
-
4.11.
业务逻辑测试
- 4.11.1. 业务逻辑数据验证测试 (OTG-BUSLOGIC-001)
- 4.11.2. 请求伪造能力测试 (OTG-BUSLOGIC-002)
- 4.11.3. 完整性测试 (OTG-BUSLOGIC-003)
- 4.11.4. 过程时长测试 (OTG-BUSLOGIC-004)
- 4.11.5. 功能使用次数限制测试 (OTG-BUSLOGIC-005)
- 4.11.6. 工作流程绕过测试 (OTG-BUSLOGIC-006)
- 4.11.7. 应用误用防护测试 (OTG-BUSLOGIC-007)
- 4.11.8. 非预期文件类型上传测试 (OTG-BUSLOGIC-008)
- 4.11.9. 恶意文件上传测试 (OTG-BUSLOGIC-009)
-
4.12.
客户端测试
- 4.12.1. 基于DOM跨站脚本测试 (OTG-CLIENT-001)
- 4.12.2. JavaScript脚本执行测试 (OTG-CLIENT-002)
- 4.12.3. HTML注入测试 (OTG-CLIENT-003)
- 4.12.4. 客户端URL重定向测试 (OTG-CLIENT-004)
- 4.12.5. CSS注入测试 (OTG-CLIENT-005)
- 4.12.6. 客户端资源操纵测试 (OTG-CLIENT-006)
- 4.12.7. 跨源资源分享测试 (OTG-CLIENT-007)
- 4.12.8. Flash跨站测试 (OTG-CLIENT-008)
- 4.12.9. 点击劫持测试 (OTG-CLIENT-009)
- 4.12.10. WebSockets测试 (OTG-CLIENT-010)
- 4.12.11. Web消息测试 (OTG-CLIENT-011)
- 4.12.12. 本地存储测试 (Local Storage) (OTG-CLIENT-012)
- 5. 报告编写
- 6. 附录
搜索引擎信息发现和侦察 (OTG-INFO-001)
综述
使用搜索引擎来侦察有直接和间接两种办法。直接的方法是直接查询索引和从缓存中发现相关内容。间接的方法是从论坛、新闻组和其他相关网站发现敏感信息和配置信息。
一旦搜索引擎机器人完成抓取工作,它会基于标签如<TITLE>或者属性来组织相关内容的索引[1]。如果robots.txt没有更新,或者也没有内联HTML标签要求不抓取,搜索引擎可能会检索到拥有者不希望包含的页面。网站管理员可以使用上面提到的robots.txt文件、HTLM元标签、认证措施或者搜索引擎提供的工具来移除这些内容。
测试目标
了解有多少应用/系统/组织的敏感设计和配置信息在网上公开,包括直接在组织网站公布和第三方网站间接公开。
如何测试
使用搜索引擎来查找:
- 网络拓扑和配置
- 获得管理员或者其他核心员工的发帖信息和邮件
- 登陆流程和用户名格式
- 用户名和密码
- 错误消息内容
- 开发、测试、验收和上线版本的网站
搜索选项
使用高级的"site:"搜索选项,他可以帮助检索特定域名下的内容[2]。不要局限在一种所搜索引擎,不同的引擎抓取页面有不同的算法,可能会产生不同的结果。可以考虑使用下面这些搜索引擎:
- Baidu
- binsearch.info
- Bing
- Duck Duck Go
- ixquick/Startpage
- Shodan
- PunkSpider
Duck Duck Go 和 ixquick/Startpage 提供关于测试者简化的泄露信息。
Google提供另一个高级的搜索选项"cache:"[2],它相当于在Google搜索结果页面里面点击"Cached"按钮。所以更加推荐先使用"site:",在结果中在寻找缓存按钮。
Google SOAP 搜索 API 支持 "doGetCachedPage" 和相关的"doGetCachedPageResponse" SOAP消息[3] ,来帮助获取缓存页面。一个相关的实现正在开发中,请参考 OWASP "Google Hacking" Project项目。
PunkSpider 是一个应用程序漏洞搜素引擎。他给渗透测试人员进行手工测试工作只能带来一点帮助,但是他可以作为证明脚本小子发现漏洞是如此容易的一个例子。
例子
比如一个典型搜索引擎发现owasp.org的网页内容的例子如下:
site:owasp.org
展示owasp.org的index.html的缓存页面如下:
cache:owasp.org
Google Hacking 数据库
Google Hacking 数据库是一组十分有用的Google查询语句。查询被分为如下几个类别:
- 演示页面
- 包含文件名的文件
- 敏感目录
- Web服务器探测
- 漏洞文件
- 漏洞服务器
- 错误信息
- 包含有趣信息的文件
- 包含密码的文件
- 敏感在线购物信息
测试工具
- FoundStone SiteDigger - http://www.mcafee.com/uk/downloads/free-tools/sitedigger.aspx
- Google Hacker - http://yehg.net/lab/pr0js/files.php/googlehacker.zip
- Stach & Liu's Google Hacking Diggity Project - http://www.stachliu.com/resources/tools/google-hacking-diggity-project/
- PunkSPIDER - http://punkspider.hyperiongray.com/
参考资料
Web
[1] "Google Basics: Learn how Google Discovers, Crawls, and Serves Web Pages" - https://support.google.com/webmasters/answer/70897
[2] "Operators and More Search Help" - https://support.google.com/websearch/answer/136861?hl=en
[3] "Google Hacking Database" - http://www.exploit-db.com/google-dorks/
整改措施
在敏感设计资料和配置信息公布在网上时请再三考虑。
定期审查公开在网上的敏感设计资料和配置信息配置信息。