软件测试论坛

 找回密码
 软件测试论坛注册页
查看: 3297|回复: 2

黑盒WEB安全测试如何保证测试全面性

  [复制链接]
抢楼 抢楼 本帖为抢楼帖,欢迎抢楼! 
发表于 2010-7-13 14:43:49 | 显示全部楼层 |阅读模式
软件测试工程师就业班马上开班
在目前的 WEB 安全黑盒测试方法中,一般是按照黑客攻击的手法进行测试,以达到准确性与全面性。那么,如何保证黑盒测试的全面性与准确性呢?总结一下,可以有以下几个方面:
7 s! i% C2 M( E1 g9 Q  {; W  }5 S- y! p, }, m! ]
1、对产品项目的熟悉程度。
9 B& K. _3 k  Z
$ L3 x; n% n$ ?. V! I+ Q' Q测试之前,对项目进行了解跟踪,熟悉项目的所有功能、接口以及与其他项目的关联性(有时候A项目的功能会造成B项目存在安全风险)。0 T1 }* X4 o3 ^+ R7 z! H* f# l
% b+ ~7 ]. q$ \
2、全面的技术知识。1 Y0 ~. s) w  B
. t3 W/ x" }# A9 |: Q. W9 [  ~2 q
由于每个项目的功能都不同,可能涉及到的应用就不同,有的项目是视频应用,就要了解flash脚本编写技术与前端配置知识,大多数 flash蠕虫都是因为前端配置问题造成的。有些项目用到了AJax,那么测试人员就必须了解AJax的知识。有的项目用到 ActiveX 插件,那么就要知道 ActiveX 可能造成的安全问题,等等。所以,安全测试人员要掌握全面技术知识,才可以对每个项目进行测试,并不因为新项目中包含新的技术而放弃测试。同时还要有不断的学习能力,遇到未知的技术要进行快速学习,然后对项目进行测试。8 }; D# P4 ^6 h7 F" W

8 X" h0 I" k+ ?3 u8 [" F! ]/ X1 G3、超强的漏洞挖掘能力,以及实战能力。: J: y$ H3 |. T- \, W: _

- T7 l/ M' _' N+ e& b, m安全测试时,必须按照黑客攻击的手法进行测试,所以,这就要求WEB安全测试人员拥有超强的漏洞挖掘能力与漏洞认知度。同样还要拥有实战经验,一个没有实践经验的测试人员,不是一个好的安全测试人员,当安全测试人员并不知道安全BUG所造成的的方式与利用后所造成的影响,就不能全部的发现所有安全BUG,同时又不能在各个安全BUG危险度上进行分级,这就造成一些安全BUG的疏漏。
/ m3 ]8 P/ @& F0 c* f) i% T6 V2 w% T1 o& N  Q/ a) ~
4、黑盒测试标准
7 [; F/ Y6 J, H" ]0 o) {8 b; ?& Q: r/ _/ m/ W. ]5 H: ~* g6 E
总结出一个黑盒测试标准文档,对所有可能影响的安全漏洞进行罗列,并详细描述黑盒测试的方法与步骤,在项目测试过程中对条目中的所有漏洞进行检测,并严格按照规定的方法进行测试。" M* X7 U- s0 ~; R. J
( f, X+ ~7 D4 n5 @8 z) v
5、细心+用心
0 X# a3 p$ E* p! \, B, b6 A) F/ c/ U0 g* d/ f+ x. x9 s6 x# B
一个很小的功能,就可能造成很大的安全漏洞,如果未测试到就进行上线,就可能造成黑客攻击,所有的用户帐户被盗取,或者应用瘫痪。$ Q% f3 g# t5 b7 }  I: M/ W% B- [

3 A! a5 d$ N) v! S4 q! o所谓工欲善其事,必先利其器,这里列出了一些常用的黑盒测试工具
' ~9 [" ~( L* W- S
! Q: Y2 {. O" K0 t1 s5 F, n5 @: U1、扫描工具:% Z0 |9 d2 k4 _% }# h
% H( A8 {! P. o' z) a
Web Vulnerability Scanner
# r: e; v) a- N6 A! w
) i7 y9 e; e3 a) aRatproxy
# V* M! ]# k$ X$ \  }- ]) o2 z2 ?# F1 J  h% n: Q4 k
2、嗅探工具:* ]. S* j2 A0 H- ?; `5 J/ l

+ I7 \* w6 I' U6 {. c. ]9 ^- y8 I, g6 RWireshark+ u. C0 }! l  G2 G# f
& b3 K6 K$ V! a7 I1 C5 H
Fiddler2. ~( o  t8 G' K( H! ~
" Y$ g, r+ x* M) h+ a. O7 t
WebScarab
+ T" T+ m9 i( r/ Z1 i4 B# R# u$ j1 e: J6 b7 d# e" i
burpsuite
; G3 E) V/ z! W  v+ }
4 v1 H- V6 P$ z3 ~* Q2 cSPIKEProxy
# O4 n- j( s+ y3 R$ t: H* u
% N% H" p) w5 Q/ q' m& Bappsniff$ |% b, g+ m( u( p: a+ k
7 \, Q9 g) @8 Q! T; D3 A
httpwatch
% Q# l1 N9 {/ X( h' d& ?4 \% r5 d7 [! }
Paros
+ E' P8 [; [. t9 |6 P2 Q& O: N  V5 y+ M3 h, F; n9 [5 ]
3、测试工具:0 a' `1 Q+ T" b. K. q" j3 K, n
& u( T- }2 Y# C# w) @$ s+ F! y' B9 g
Web2Fuzz/ C8 p/ i  x6 K

, l4 M' u0 q. lpangolin
4 q# `; W0 R' G' q. m7 C- u
0 I: l% P: ?1 h5 ysqlmap
3 L6 {3 }! ~, ~3 ~: y1 q
! _# g3 d! h$ ?Firefox+插件:# d7 b) ?' B  C# Z3 O3 Y: P
) O2 f8 K0 D! u2 c+ y7 s  s
—————————————————————————
. k: I6 i, u) M4 T( v' u) b
7 Q8 M6 o" J, L) W( AFileEncrypter HASH转换
6 f; Z! N' d1 U6 @8 l. M# U* ?0 e" q# Q% F+ {' K& U
https://addons.mozilla.org/firefox/3208
* U  j! _8 c; e7 b7 k9 n/ a6 a% x7 `2 }1 s; Q, o9 }
nftools HASH转换! T0 W6 ~" p4 \& K2 w

* ~% ?5 @+ ~. L+ _* Thttp://www.net-force.nl/files/download/nftools/nftools.xpi
# i: s: I2 R+ Y) n5 R  h4 O) v$ ^" c& L
Greasemonkey 在网页内实时插入脚本
2 ]' {9 q  w4 V+ g, J1 Y+ _% }# t3 o9 H8 o' p% O+ u3 y
https://addons.mozilla.org/firefox/748/4 D" |) K4 \! T' ?% p
2 `1 t/ a; I7 D9 {2 m! c2 n
hackbar SQl注入辅助
1 f) w. G& p9 B3 K5 I( B2 m; F) b& w
https://addons.mozilla.org/firefox/3899/0 n! x' c' l: ^' X
) V- |! _; M3 }6 R0 D; F  m6 s0 s
Add n Edit Cookies  编辑COOKIES  O, H, A' H! w/ [! A) s7 G
) I6 C7 n) e- v0 \% l+ q4 M# _
https://addons.mozilla.org/firefox/573/
8 A# y( J& M8 ^' j
' {% b/ t* B( P( pPoster 自定义构造POST的提交 包括文件上传: G0 G2 j+ i: c2 z

2 g; ^! @% w' @: G% Ghttps://addons.mozilla.org/fr/firefox/addon/26913 T* `; j8 z; M

, ^, S- D1 u" C( Q" cRefControl 编辑REF来源等( E; N3 V2 Q4 s( Z4 M6 I! I/ y0 K

6 F* U- T  B' _  G! N% u; H8 vhttps://addons.mozilla.org/firefox/953/
4 G( f# d. L# O8 m* |+ j
# x  c$ j& o, l( NLiveHTTPHeaders方便记录给次的GET和POST提交并可以relpaly修改HTTP请求包! g9 H2 [! R& G; L

; M% }/ p5 `; Shttps://addons.mozilla.org/firefox/3829/( O7 Y6 k  x' \- q1 G
7 ?( F3 C. O; L, W3 ~# a. ^4 W
Tamper Data 监视所有的GET和POST提交8 |$ v. ~. {7 l: R7 A4 ~4 u* ^) H
4 A' `1 ]/ J) S0 O7 j7 o
https://addons.mozilla.org/firefox/966/: i" m0 a8 Y2 v1 D5 p
6 t# y6 U) _1 S+ N. }9 ~
User Agent Switcher 可以伪造User Agent
% w8 Y) x3 |+ R$ m1 _, w6 d# g& {& e( T
https://addons.mozilla.org/firefox/59/1 S1 X8 ?7 W: x+ S! O9 M
: j% P, G/ y1 ~: ?
View Dependencies 展示页面所有相关的文件. n4 A2 m: K/ h7 x- t: Y6 ^

; e) e0 E( c3 R2 J- w0 H7 V' W1 {3 \https://addons.mozilla.org/firefox/2214/
, v, X* J( |3 @. Q( Q2 S8 P+ z
' |! p1 Y+ R2 x: NWeb Developer 控制打开关闭HTML元素4 M" Q: f3 q) q
0 l( B" n& ]7 j0 |4 h2 g
https://addons.mozilla.org/firefox/60/* L1 _+ U8 s8 {0 B7 W
# h/ i, L6 L9 t
Jsview 查看整个页面的JS
1 K1 p4 ], o1 F& g1 {8 C, l8 j6 q) L/ J8 R: m
https://addons.mozilla.org/firefox/2076/6 {2 T4 E/ m% f* ^! a+ b! j$ W- a

4 z- {4 i+ ~1 i7 iFormFox 自动识别提交表单指向的URL
+ W* H3 |& X0 m6 m, L) x- X" G- G1 U9 I8 P2 O! |
https://addons.mozilla.org/fr/firefox/addon/1579
1 }5 G* q8 ~. ~8 e3 y
" \: B% I! h/ v  JFireBug 自动查找页面语法错误8 r2 Y8 t0 x1 K3 {8 j* v. y  T- X' S
2 o5 d7 T$ U. X' V4 r2 Y
https://addons.mozilla.org/firefox/1843/! o8 @1 K: ~2 X' d
/ \# Q# @% c% t* u6 i0 P: e
httpfox  http协议分析器, J8 `, A5 j( k' g

# d( p2 H: |/ y$ }) T6 jhttps://addons.mozilla.org/en-US/firefox/addon/6647( z8 D/ d. ~% ~# j) g" z$ r
8 m' L  z+ p& C. ^& T8 [9 g4 E
——————————————————-
5 i5 ]& |8 q1 \( r: o, i- d5 u* ^* \& O! c2 a; W% [
总结:, t+ c4 T9 H9 [8 Q, t. i3 P: L1 i
: f. I9 o2 u# I3 |5 a
只有对项目中所有的应用接口与功能进行全面测试,并对可能造成的风险进行一一审核,兼备完善的WEB安全技术,同时,由于未来情况下可能会存在新的攻击方式,并时刻关注业内安全事件,对于新的攻击手段进行跟踪学习,应用到安全测试中,才可以达到安全黑盒测试的全面性,保证应用的安全性。
ISTQB
发表于 2011-8-5 11:34:37 | 显示全部楼层
软件测试工程师就业班马上开班
看来安全测试还是很难呀,要学习的东西还有很多!!
回复

使用道具 举报

ISTQB
无效楼层,该帖已经被删除
无效楼层,该帖已经被删除
发表于 2012-4-20 14:07:46 | 显示全部楼层
软件测试工程师就业班马上开班
顶一下吧~ 很少见的好帖了
回复

使用道具 举报

无效楼层,该帖已经被删除
无效楼层,该帖已经被删除

本版积分规则

Archiver|手机版|小黑屋|领测软件测试网 ( 京ICP备10010545号-5 )

GMT+8, 2021-10-23 10:15 , Processed in 0.255176 second(s), 18 queries , Xcache On.

Powered by Discuz! X3

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表