web平安测试东西的局限性

来源：长沙北大青鸟金奖校区|发布时间：2016-05-21|浏览量：

摘要：做web的安全测试也有些日子了，之前没有到这个版块来过，明天看了看版面上年夜家都在会商东西若何若何应用，而很少会商安全缝隙的道理，我就给年夜家泼泼凉水，谈谈东西的局限。

做web的安全测试也有些日子了，之前没有到这个版块来过，明天看了看版面上年夜家都在会商东西若何若何应用，而很少会商安全缝隙的道理，我就给年夜家泼泼凉水，谈谈东西的局限。

先说下扫描东西的道理：

扫描东西能够看作由两部门构成：爬虫+校验机构。爬虫的感化是聚集全部被搜集对象的链接，然后校验机构对这些链接逐个中止考证。

然后说扫描东西的局限：

局限1：扫描一定周全

一个网站，能不克不及被扫描周全，很年夜程度取决于爬虫聚集链接的才干。我做过爬虫的测试，所以年夜致明白爬虫的道理，就是对给定的进口地址建议请求，然后从前往的内容中抽取链接，然后再请求抽取到的链接，如斯频频。包括在HTML中的链接，很随便被抽取到，可是由js天生的链接，抽取的时辰就有些难度了，由Flash天生的链接，更是难于被抽取到。此时有人想说图片考证码了吧？我们做测试能够请求网站开绿灯，暂时屏障考证码，这个倒能够不推敲。今朝ajax手艺的流行，更让爬虫聚集链接的才干显得左支右绌。所以这就流露出了扫描东西的第一个局限，扫描一定周全。

局限2：对屏障缺点信息的网站结果欠好

若是你觉得扫描不周全能够经由过程多阐发和从分歧的进口地址多测试几遍能够降服的话，这个局限就稍微比上边阿谁有点难度了。这个首要是“校验机构”的局限，校验机构的任务道理是对特定格局的链接或特定格局的表单婚配特定的摹拟侵犯用例，摹拟侵犯。我们明白，侵犯是一个请求的进程，也就是一个request，而侵犯的成果怎样看？只能从response里看了。以SQL注进为例，当发送一个1‘多么的参数值到后台以后，若是前往页面内容中包括了SQLException，那末扫描东西就认定它是一个SQL注进缝隙。可是若是网站设置了缺点页面，在有异常产生时直接跳转到一个缺点页面，告知你“犯错啦！”，然后再没其它信息，搜集东西怎样断定是不是存在缝隙？莫非你往跟研发职员说“省事您把缺点页面往失落”吗？要真说了，我们傲岸的研发职员必定不会给你好神色的。

局限3：对特定的场景不适宜

局限3跟局限2几多有些近似，但性质不太一样，局限3是指某些特定场景。扫描东西扫描bug的道理，1和2里阐述的差未几了，这里我们举两个例子吧，看了例子年夜家看看怎样用扫描东西来发现这俩缝隙，假如不克不及发现，那就是扫描东西的局限了。第一个：有个网站答应用户注册，用户注册后还答应用户点窜小我信息，可是点窜小我信息的这个处一切个SQL注进缝隙。我们明白，普通点窜小我信息的SQL年夜致是多么的update [userinfo] set password=‘1111‘， email=‘abc@163.com‘ where uid=‘男孩子‘，若是一个用户点窜自身暗码的时辰把暗码设为了1111‘--，多么，若是存在SQL注进缝隙，一切注册用户的暗码都酿成了1111。这里有缝隙吗？有！可是东西能发现吗？除非检查数据库，不然底子发现不了这标题。再看第二个：站内动静我们良多时辰都用到，假定站内动静存在XSS缝隙，那末A给B发了这么一段恶意的剧本，可是从A何处看跟浅显动静的发送是没甚么辨别的，所以扫描东西就发现不了这个标题，除非再用账号B来登录中止扫描。可是，这个看着俭朴，理想上支配起来却比力难。你怎样明白扫描东西摹拟侵犯的时辰发起静给了B，而没给C或D或E呢？所以这个时限起来也是不实践的。一样事理的还有在外网提交了留言，到办理台审核这类方式，都存在近似标题。

以上只是罗列了3点，算是提示年夜家多注重一点东西之外的事儿吧，测试这个工具，不是拿个东西就能够弄定的。我说这些不是说年夜家今后不要用东西，而是要精确的用东西。一个测试恳求提交今后，应当起首阐发哪些处所多是东西笼盖不到的，把这些处所祖先工查抄，剩下的再用东西做全站笼盖扫描。

上一篇：返回列表

下一篇：机能测试东西收费版正式发布