- Owasp Testing Guide v4
- 说明
- 1. 序
- 2. 简介
- 3. OWASP测试框架
-
4.
Web应用安全测试
- 4.1. 简介与目标
-
4.2.
信息收集
- 4.2.1. 搜索引擎信息发现和侦察 (OTG-INFO-001)
- 4.2.2. 识别web服务器 (OTG-INFO-002)
- 4.2.3. web服务器元文件信息发现 (OTG-INFO-003)
- 4.2.4. 服务器应用应用枚举 (OTG-INFO-004)
- 4.2.5. 评论信息发现 (OTG-INFO-005)
- 4.2.6. 应用入口识别 (OTG-INFO-006)
- 4.2.7. 识别应用工作流程 (OTG-INFO-007)
- 4.2.8. 识别web应用框架 (OTG-INFO-008)
- 4.2.9. 识别web应用程序 (OTG-INFO-009)
- 4.2.10. 绘制应用架构图 (OTG-INFO-010)
- 4.3. 配置以及部署管理测试
- 4.4. 身份鉴别管理测试
-
4.5.
认证测试
- 4.5.1. 口令信息加密传输测试 (OTG-AUTHN-001)
- 4.5.2. 默认口令测试 (OTG-AUTHN-002)
- 4.5.3. 帐户锁定机制测试 (OTG-AUTHN-003)
- 4.5.4. 认证绕过测试 (OTG-AUTHN-004)
- 4.5.5. 记住密码功能测试 functionality (OTG-AUTHN-005)
- 4.5.6. 浏览器缓存弱点测试 (OTG-AUTHN-006)
- 4.5.7. 密码策略测试 (OTG-AUTHN-007)
- 4.5.8. 安全问答测试 (OTG-AUTHN-008)
- 4.5.9. 密码重置测试 (OTG-AUTHN-009)
- 4.5.10. 其他相关认证渠道测试 (OTG-AUTHN-010)
- 4.6. 授权测试
- 4.7. 会话管理测试
-
4.8.
输入验证测试
- 4.8.1. 反射型跨站脚本测试 (OTG-INPVAL-001)
- 4.8.2. 存储型跨站脚本测试 (OTG-INPVAL-002)
- 4.8.3. HTTP谓词伪造测试 (OTG-INPVAL-003)
- 4.8.4. HTTP参数污染测试 (OTG-INPVAL-004)
- 4.8.5. SQL注入测试 (OTG-INPVAL-005)
- 4.8.6. LDAP注入测试 (OTG-INPVAL-006)
- 4.8.7. ORM注入测试 (OTG-INPVAL-007)
- 4.8.8. XML注入测试 (OTG-INPVAL-008)
- 4.8.9. SSI注入测试 (OTG-INPVAL-009)
- 4.8.10. XPath注入测试 (OTG-INPVAL-010)
- 4.8.11. IMAP/SMTP注入测试 (OTG-INPVAL-011)
- 4.8.12. 代码注入测试 (OTG-INPVAL-012)
- 4.8.13. 命令执行注入测试 (OTG-INPVAL-013)
- 4.8.14. 缓冲区溢出测试 (OTG-INPVAL-014)
- 4.8.15. 潜伏式漏洞测试 (OTG-INPVAL-015)
- 4.8.16. HTTP分割/伪造测试 (OTG-INPVAL-016)
- 4.9. 错误处理测试
- 4.10. 密码学测试
-
4.11.
业务逻辑测试
- 4.11.1. 业务逻辑数据验证测试 (OTG-BUSLOGIC-001)
- 4.11.2. 请求伪造能力测试 (OTG-BUSLOGIC-002)
- 4.11.3. 完整性测试 (OTG-BUSLOGIC-003)
- 4.11.4. 过程时长测试 (OTG-BUSLOGIC-004)
- 4.11.5. 功能使用次数限制测试 (OTG-BUSLOGIC-005)
- 4.11.6. 工作流程绕过测试 (OTG-BUSLOGIC-006)
- 4.11.7. 应用误用防护测试 (OTG-BUSLOGIC-007)
- 4.11.8. 非预期文件类型上传测试 (OTG-BUSLOGIC-008)
- 4.11.9. 恶意文件上传测试 (OTG-BUSLOGIC-009)
-
4.12.
客户端测试
- 4.12.1. 基于DOM跨站脚本测试 (OTG-CLIENT-001)
- 4.12.2. JavaScript脚本执行测试 (OTG-CLIENT-002)
- 4.12.3. HTML注入测试 (OTG-CLIENT-003)
- 4.12.4. 客户端URL重定向测试 (OTG-CLIENT-004)
- 4.12.5. CSS注入测试 (OTG-CLIENT-005)
- 4.12.6. 客户端资源操纵测试 (OTG-CLIENT-006)
- 4.12.7. 跨源资源分享测试 (OTG-CLIENT-007)
- 4.12.8. Flash跨站测试 (OTG-CLIENT-008)
- 4.12.9. 点击劫持测试 (OTG-CLIENT-009)
- 4.12.10. WebSockets测试 (OTG-CLIENT-010)
- 4.12.11. Web消息测试 (OTG-CLIENT-011)
- 4.12.12. 本地存储测试 (Local Storage) (OTG-CLIENT-012)
- 5. 报告编写
- 6. 附录
映射应用的执行路径 (OTG-INFO-007)
综述
在正式开始安全测试以前,理解应用程序的结构是非常重要的。如果没有通透地理解应用的布局情况,往往也无法彻底完成测试。
测试目标
建立目标应用程序结构图,并理解其主要工作流程。
如何测试
在黑盒测试中,测试整个代码路径是非常困难的。不仅仅因为测试者对于应用代码路径毫无所知,而且即使知道,测试所有的代码路径也是非常耗时的。一直折中的办法是将发现的和测试的代码路径记录下来。
有一些办法来实施测试和测量代码覆盖率:
- 路径 - 测试每个应用路径,包括对决策路径进行组合测试和边界值分析测试。尽管这个方法提过了完全性,但是测试路径的数量会在每个决策分支上呈指数型增长。
- 数据流 (或者污点分析) - 测试外部交互(通常是用户)发生的变量赋值。专注于映射贯穿应用的数据流、数据转换和数据的使用。
- 竞争 - 测试多个应用并发实例操作同一个数据的情况。
权衡使用哪种测试方法应该和应用所有者进行协商。更简单的方法应该被采纳,包括询问应用所有者他们特别关心的是什么功能或代码段以及如何到达这些代码段。
黑盒测试
为了向应用所有者证明代码覆盖率,测试者可以使用数据表来记录所有发现的链接(手动或自动)。然后测试者可以更仔细观察应用的决策点,并调查发现了多少重要的代码路径。把发现的这些路径的URL,截图描述等也记录进数据表。
灰盒/白盒测试
在灰盒/白盒盒测试中向应用所有者保证有效的代码覆盖率要容易得多。提供和被询问到的信息足以保证代码覆盖最小要求被满足。
例子
自动蜘蛛抓取
蜘蛛机器人是自动发现特定网站新资源(URL)的工具。提供一系列的访问URL(叫做种子页面)给蜘蛛作为爬行起点。有许多的蜘蛛机器人工具,下面的例子使用 Zed Attack Proxy (ZAP) :
ZAP 提供如下自动抓取特性,可以根据测试者的需求,按需进行选择:
- 探索整个站点 - 种子页面列表包括选择站点已经发现了的所有URL。
- 探索子站点 - 种子页面列表包括选择节点的子树中已经发现了的所有URL。
- 探索URL - 种子页面列表仅包括与选择节点相关的URL(在站点树中)。
- 探索整个范围 - 种子页面列表包括用户在‘In Scope’中选择的所有URL。
测试工具
参考资料
白皮书