- Owasp Testing Guide v4
- 说明
- 1. 序
- 2. 简介
- 3. OWASP测试框架
-
4.
Web应用安全测试
- 4.1. 简介与目标
-
4.2.
信息收集
- 4.2.1. 搜索引擎信息发现和侦察 (OTG-INFO-001)
- 4.2.2. 识别web服务器 (OTG-INFO-002)
- 4.2.3. web服务器元文件信息发现 (OTG-INFO-003)
- 4.2.4. 服务器应用应用枚举 (OTG-INFO-004)
- 4.2.5. 评论信息发现 (OTG-INFO-005)
- 4.2.6. 应用入口识别 (OTG-INFO-006)
- 4.2.7. 识别应用工作流程 (OTG-INFO-007)
- 4.2.8. 识别web应用框架 (OTG-INFO-008)
- 4.2.9. 识别web应用程序 (OTG-INFO-009)
- 4.2.10. 绘制应用架构图 (OTG-INFO-010)
- 4.3. 配置以及部署管理测试
- 4.4. 身份鉴别管理测试
-
4.5.
认证测试
- 4.5.1. 口令信息加密传输测试 (OTG-AUTHN-001)
- 4.5.2. 默认口令测试 (OTG-AUTHN-002)
- 4.5.3. 帐户锁定机制测试 (OTG-AUTHN-003)
- 4.5.4. 认证绕过测试 (OTG-AUTHN-004)
- 4.5.5. 记住密码功能测试 functionality (OTG-AUTHN-005)
- 4.5.6. 浏览器缓存弱点测试 (OTG-AUTHN-006)
- 4.5.7. 密码策略测试 (OTG-AUTHN-007)
- 4.5.8. 安全问答测试 (OTG-AUTHN-008)
- 4.5.9. 密码重置测试 (OTG-AUTHN-009)
- 4.5.10. 其他相关认证渠道测试 (OTG-AUTHN-010)
- 4.6. 授权测试
- 4.7. 会话管理测试
-
4.8.
输入验证测试
- 4.8.1. 反射型跨站脚本测试 (OTG-INPVAL-001)
- 4.8.2. 存储型跨站脚本测试 (OTG-INPVAL-002)
- 4.8.3. HTTP谓词伪造测试 (OTG-INPVAL-003)
- 4.8.4. HTTP参数污染测试 (OTG-INPVAL-004)
- 4.8.5. SQL注入测试 (OTG-INPVAL-005)
- 4.8.6. LDAP注入测试 (OTG-INPVAL-006)
- 4.8.7. ORM注入测试 (OTG-INPVAL-007)
- 4.8.8. XML注入测试 (OTG-INPVAL-008)
- 4.8.9. SSI注入测试 (OTG-INPVAL-009)
- 4.8.10. XPath注入测试 (OTG-INPVAL-010)
- 4.8.11. IMAP/SMTP注入测试 (OTG-INPVAL-011)
- 4.8.12. 代码注入测试 (OTG-INPVAL-012)
- 4.8.13. 命令执行注入测试 (OTG-INPVAL-013)
- 4.8.14. 缓冲区溢出测试 (OTG-INPVAL-014)
- 4.8.15. 潜伏式漏洞测试 (OTG-INPVAL-015)
- 4.8.16. HTTP分割/伪造测试 (OTG-INPVAL-016)
- 4.9. 错误处理测试
- 4.10. 密码学测试
-
4.11.
业务逻辑测试
- 4.11.1. 业务逻辑数据验证测试 (OTG-BUSLOGIC-001)
- 4.11.2. 请求伪造能力测试 (OTG-BUSLOGIC-002)
- 4.11.3. 完整性测试 (OTG-BUSLOGIC-003)
- 4.11.4. 过程时长测试 (OTG-BUSLOGIC-004)
- 4.11.5. 功能使用次数限制测试 (OTG-BUSLOGIC-005)
- 4.11.6. 工作流程绕过测试 (OTG-BUSLOGIC-006)
- 4.11.7. 应用误用防护测试 (OTG-BUSLOGIC-007)
- 4.11.8. 非预期文件类型上传测试 (OTG-BUSLOGIC-008)
- 4.11.9. 恶意文件上传测试 (OTG-BUSLOGIC-009)
-
4.12.
客户端测试
- 4.12.1. 基于DOM跨站脚本测试 (OTG-CLIENT-001)
- 4.12.2. JavaScript脚本执行测试 (OTG-CLIENT-002)
- 4.12.3. HTML注入测试 (OTG-CLIENT-003)
- 4.12.4. 客户端URL重定向测试 (OTG-CLIENT-004)
- 4.12.5. CSS注入测试 (OTG-CLIENT-005)
- 4.12.6. 客户端资源操纵测试 (OTG-CLIENT-006)
- 4.12.7. 跨源资源分享测试 (OTG-CLIENT-007)
- 4.12.8. Flash跨站测试 (OTG-CLIENT-008)
- 4.12.9. 点击劫持测试 (OTG-CLIENT-009)
- 4.12.10. WebSockets测试 (OTG-CLIENT-010)
- 4.12.11. Web消息测试 (OTG-CLIENT-011)
- 4.12.12. 本地存储测试 (Local Storage) (OTG-CLIENT-012)
- 5. 报告编写
- 6. 附录
审核web服务器元文件发现信息泄露 (OTG-INFO-003)
综述
这章节描述如何从robots.txt中发现泄露的web应用路径信息。更进一步,这些应该被蜘蛛、机器人和网页抓取软件忽略的目录列表能很好地作为建立应用流程的参考。
测试目标
web应用路径或者文件夹泄露信息。
建立被蜘蛛机器人忽略的目录列表。
如何测试
robots.txt
Web蜘蛛、机器人和网页抓取软件通过获取页面,递归遍历超链接来获取更多的网页内容。他们的行为应该遵循在网站根目录下robots.txt所定义的机器人排除协议[1]。
例如,2013年8月11日获取的 http://www.google.com/robots.txt 的robots.txt文件,该文件开头如下所示:
User-agent: *
Disallow: /search
Disallow: /sdch
Disallow: /groups
Disallow: /images
Disallow: /catalogs
...
User-Agent 指令特别指定了特定的蜘蛛机器人。例如,User-Agent: Googlebot 特指那些谷歌的蜘蛛机器人,"User-Agent: bingbot" 特指那些来自Microsoft/Yahoo!的爬虫机器人。在如下所示例子中的 User-Agent: * 则指明包括所有的蜘蛛机器人[2]:
User-agent: *
Disallow 指令规定了蜘蛛机器人限制访问的资源。上面的例子中如下资源被禁止访问:
...
Disallow: /search
Disallow: /sdch
Disallow: /groups
Disallow: /images
Disallow: /catalogs
...
Web蜘蛛机器人可以故意忽略robots.txt中的Disallow指令所规定的内容[3], 比如那些来自Social Networks 的机器人需要确保共享的链接依旧合法。因此,robots.txt不应该当做一个强制约束机制来控制第三方访问这些web页面。
获取根目录下的robots.txt- 使用"wget" 或 "curl"
robots.txt文件能从web服务器根目录下获得。例如使用"wget"或"curl"获取www.google.com的robots.txt文件:
cmlh$ wget http://www.google.com/robots.txt
--2013-08-11 14:40:36-- http://www.google.com/robots.txt
Resolving www.google.com... 74.125.237.17, 74.125.237.18, 74.125.237.19, ...
Connecting to www.google.com|74.125.237.17|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/plain]
Saving to: ‘robots.txt.1’
[ <=> ] 7,074 --.-K/s in 0s
2013-08-11 14:40:37 (59.7 MB/s) - ‘robots.txt’ saved [7074]
cmlh$ head -n5 robots.txt
User-agent: *
Disallow: /search
Disallow: /sdch
Disallow: /groups
Disallow: /images
cmlh$
cmlh$ curl -O http://www.google.com/robots.txt
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
101 7074 0 7074 0 0 9410 0 --:--:-- --:--:-- --:--:-- 27312
cmlh$ head -n5 robots.txt
User-agent: *
Disallow: /search
Disallow: /sdch
Disallow: /groups
Disallow: /images
cmlh$
获取根目录下的robots.txt- 使用rockspider
"rockspider" 能自动为蜘蛛机器人建立初始的范围和网站的目录。
例如,使用"rockspider"基于allowed:指令建立www.google.com的网站初始目录结构:
cmlh$ ./rockspider.pl -www www.google.com
"Rockspider" Alpha v0.1_2
Copyright 2013 Christian Heinrich
Licensed under the Apache License, Version 2.0
1. Downloading http://www.google.com/robots.txt
2. "robots.txt" saved as "www.google.com-robots.txt"
3. Sending Allow: URIs of www.google.com to web proxy i.e. 127.0.0.1:8080
/catalogs/about sent
/catalogs/p? sent
/news/directory sent
...
4. Done.
cmlh$
使用Google Webmaster 工具分析 robots.txt
网站拥有者们可以使用"Google Webmaster Tools"工具中的"Analyze robots.txt"功能来分析网站结构。这个工具能帮助测试,使用方式如下:
- 使用Google帐号登陆Google Webmaster Tools;
- 在操作面板中输入待分析网站URL;
- 根据指示选择合适的功能。
元标签(META)
标签位于HTML文档的HEAD区域内,应该与网站整体内容保持一致以防蜘蛛机器人从其他地方开始抓取,并非从根页面,例如"deep link"。
如果没有像"<META NAME="ROBOTS" ... >"这样的条目,那么“机器人排除协议”默认为可索引("INDEX,FOLLOW")。因此协议规定的其他另外两个合法的条目以"NO..."开头,例如"NOINDEX" and "NOFOLLOW"。
web蜘蛛机器人也可以故意忽略"<META NAME="ROBOTS"",就像对待robots.txt一样。因此,<META>也不能被当做是一项主要控制措施,最多只是robots.txt的补充措施。
发现<META>标签 - 使用Burp
基于robots.txt定义的Disallow指令目录与使用正则表达式搜索每个页面中的"<META NAME="ROBOTS""相互比较结果。
比如facebook.com下测robots.txt有一条"Disallow: /ac.php" 入口,以及搜索得来的"<META NAME="ROBOTS"" 显示如下:
上面可以当做一个失败的例子,因为"INDEX,FOLLOW"是“机器人排除协议”中默认的<META>标签描述,但是 "Disallow: /ac.php"却在robots.txt中清楚表明,两者相互矛盾。
测试工具
- Browser (View Source function)
- curl
- wget
- rockspider
参考资料
白皮书
- [1] "The Web Robots Pages" - http://www.robotstxt.org/
- [2] "Block and Remove Pages Using a robots.txt File" - https://support.google.com/webmasters/answer/156449
- [3] "(ISC)2 Blog: The Attack of the Spiders from the Clouds" - http://blog.isc2.org/isc2_blog/2008/07/the-attack-of-t.html
- [4] "Telstra customer database exposed" - http://www.smh.com.au/it-pro/security-it/telstra-customer-database-exposed-20111209-1on60.html