【渗透测试】
【渗透测试】
作者:不详   发布于:    文字:【】【】【

渗透测试

描述:

网站开发者在开发网站时, 服务器维护人员在维护过程中, 一般将大多数精力都投入在考虑满足用户应用, 如何实现业务, 服务器是否正常运行等方面, 而很少考虑网站 开发以及服务器维护过程中所出现的安全漏洞, 这些漏洞在不关注网络安全的用户眼里几乎不可见, 在正常的网站访问过程中, 这些漏洞也不会被察觉。 但对于别有用心的攻 击者而言,这些漏洞很可能会对网站、服务器带来致命的伤害,造成巨大的损失。

测试方法:

模拟黑客的入侵方式从网站、 服务器、 内部、 外部、 人、 移动端、 客户端、 等多个渠道全方位进行渗透性测试。 测试核心数据是否安全, 安全机制是否可能存在绕过的可 能,业务流程逻辑是否合理,是否能抵御外部的攻击,是否有安全意识等。

测试范围:

1.网站漏洞

1.1 数据存储区:SQL 注入、二次注入、注入 NoSQL、注入 XPath、注入 LDAP

1.2 验证机制:设计缺陷、暴力破解登陆、可预测性、注册用户、记住密码、 密码修改、忘记密码缺陷

1.3 会话管理:可预测性、泄露令牌、劫持令牌

1.4 访问控制:水平权限、垂直权限、未授权访问

1.5 后端组件:注入操作系统命令、操作文件路径、注入 XML 后端 HTTP 请求

1.6 应用程序逻辑: 0 元购买、 无限制操作、 绕过、 验证码问题、 修改任意密码、与机制竞争

1.7 跨站攻击:反射型 XSS、存储型 XSS、DOM 型 XSS、请求伪造、UI 伪装、数据劫持

1.8 信息泄露:错误信息、调试信息、公共信息、提示信息、敏感信息

1.9 应用程序框架:分层架构、虚拟主机、共享环境

2.服务器漏洞

2.1 Web 服务器配置缺陷:默认证书、默认内容、目录列表、WebDAV 方法、Web服务器作为代理服务器、虚拟主机配置缺陷、保障 Web 服务器配置的安全

2.2 易受攻击的服务器软件: 应用程序框架缺陷、 内存管理漏洞、 编码与规范化漏洞、查找 Web 服务器漏洞

3.人为漏洞

3.1 安全意识薄弱:社会工程学、弱口令、空口令、统一密码、钓鱼

3.2 人为失误:配置不当、操作失误、信息泄露

4.其他漏洞

4.1 其他平台:客户端、移动端、硬件设备

4.2 内部网络:配置、内部网络体系

测试报告:

① 漏洞具体位置

② 漏洞形成原因

③ 漏洞利用方式

④ 建议解决方案

下一篇: 上一篇:【移动,客户端安全检测】
版权所有 © 深圳软为信息 粤ICP备14034040号