《安全测试指南》——配置管理测试【学习笔记】
配置管理測試
?
1、網路和基礎設置配置測試(OTG-CONFIG-001)
測試方法:已知服務器漏洞(APache、IIS等)。略。
?
2、應用平臺配置測試(OTG-CONFIG-002)
測試方法:
a. 黑盒測試:已知web服務器文件和目錄;注釋審查
b. 灰盒測試:
· 只啟用應用程序需要的服務模塊。
· 處理服務器錯誤(40x或50x),使用定制頁面代替web服務頁面。
· 確保服務器軟件在操作系統中以最小化權限運行。
· 確保服務器軟件正確地記錄了合法的訪問和錯誤異常的日志。
· 確保服務器被配置了正確的處理過載和防止DOS攻擊。
· 永遠不要允許非管理員身份(除NT SERVICE\WMSvc)去訪問applicationHost.config,redirection.config和administration.config(任何讀或寫訪問權限)
· 永遠不要再網絡上向外共享applicationHost.config,redirection.config和administration.config。
· 所有用戶能默認讀取.NET 框架 machine.config和 root web.config文件,不要把敏感信息存儲到這些文件中。除非只有管理員能查看。
· 在同一機器上只有IIS工作進程可以被讀取,而其他用戶不能看到的敏感信息應該被加密。
· 不能給予web服務器用戶訪問共享的applicationHost.config 寫權限。
· 使用單獨的身份來發布applicationHost.config 共享,不要使用此用戶身份在web服務器去配置共享配置文件的訪問權限。
· 導出共享配置文件的加密密鑰時,要用強密碼進行保護。
· 始終限制訪問包含共享的配置文件和加密密鑰目錄。
· 考慮通過防火墻規則和IPSec技術,只允許web服務器成員連接到共享文件。
c. 日志
存在敏感信息的日志
日志位置(單獨的日志服務器)
日志存儲(可能被dos攻擊)
日志輪轉迭代
日志訪問控制
日志審核
?
3、敏感信息文件擴展處理測試(OTG-CONFIG-003)
確定web服務器如何處理包含不同擴展名對應的請求,也許能幫助你理解web 服務器對于不同類型文件訪問的行為模式。?
測試方法:
a. 強制瀏覽
b. 文件上傳
c. 灰盒測試
工具:Nessus,Nikto。?
?
?4、對舊文件、備份和未被引用文件的敏感信息的審查(OTG-CONFIG-004)
? 測試方法:
黑盒測試:
a、根據發布的內容對命名模式推斷(如:viewuser.asp可以推出可能含edituser.asp,adduser.asp,deleteuser.asp;/app/user可以推出可能含/app/admin,/app/manager)
b、發布內容的其他線索(注釋)
c、盲猜
d、通過服務器漏洞和錯誤配置獲取信息
e、使用公開資源獲取信息(搜索引擎歸檔文件)
f、文件名過濾繞過(基于正則的黑名單過濾)
灰盒測試:周期性地在后臺執行任務來檢查帶有文件擴展名的文件,并確定是文件副本或備份文件,并且定期執行手動檢查。
工具:Nessus,Nikto,Wikto。?
?
5、枚舉基礎設施和應用程序管理界面(OTG-CONFIG-005)
主要測試某些特權功能收被一個沒有授權的用戶或一般用戶訪問。(未經授權訪問)
測試方法:
黑盒測試:
目錄和文件的枚舉。
存在很多可獲取的工具可對服務器內容執行暴力攻擊。
在源代碼中的注釋和鏈接。
審查服務器和應用程序文檔。
公共可獲取的信息。
任意服務器端口。
參數的篡改。(如:cookie)
灰盒測試:源代碼審查。
工具:Dirbuster、THC-HYDRA。
?
6、HTTP方法測試(OTG-CONFIG-006)
主要測試不安全的http方法。(PUT、DELETE、CONNECT、TRACE)
測試方法:
用netcat或telnet。(options HTTP測試方法)
a、測試任意HTTP方法
找一個存在安全訪問限制的頁面,用JEFF方法發出請求,若不支持,會發出錯誤頁面(405,501)
否則繼續攻擊:JEFF ? ?/admin/changePw.php?member=myAdmin&passwd=123&confirm=123
FOOBAR /admin/createUser.php?member=myAdmin
CATS /admin/groupEdit.php?group=Admins&member=myAdmin&action=add
b、測試HEAD訪問控制繞過
找一個存在安全訪問限制的頁面,用JEFF方法發出請求,若不支持,會發出錯誤頁面(405,501),說明沒問題。
若出現200OK,則有可能應用程序在處理請求時沒有授權和認證體系。 (同上)
HEAD ?/admin/changePw.php?member=myAdmin&passwd=123&confirm=123
?
HEAD /admin/createUser.php?member=myAdmin
?
HEAD /admin/groupEdit.php?group=Admins&member=myAdmin&action=add
工具:NetCat
?
?
7、HTTP強制安全傳輸測試(OTG-CONFIG-007)
HTTP強制安全傳輸(HSTS)頭,要求web站點與web瀏覽器之間的流量交換始終基于HTTPS之上,有助于沒有加密的信息在傳輸過程中受到保護。
主要檢查使用這個頭的web是否會有如下安全問題:
· 嗅探網絡流量并且查看再文加密通道上傳輸的信息。
· 中間人攻擊
· 用戶錯誤地輸入HTTP代替HTTPS,或用戶點擊了一個在web內錯誤關聯HTTP協議的鏈接。
測試方法:
通過劫持代理并檢查服務器響應的HSTS頭
或是用curl指令:
¥ curl ?-s -D- https://test.com/ | grep Strict
期望:
Strict-Transport-Security:max-age=...
?
8、RIA跨域策略測試(OTG-CONFIG-008)
? 富網絡應用程序(RIA)通過domain.xml策略文件允許跨域訪問控制,所以,一個域可以授予一個不同的域從遠程訪問它的服務。若策略文件配置不當,將導致跨站點偽裝攻擊等。
測試方法:
取出應用程序中的crossdomain.xml和clientaccesspolicy.xml文件。檢查所允許的因為最小的權限原則。存在“*”的配置策略應密切檢查。
如:
<cross-domian-policy>
<allow-access-from domain="*" />
</cross-domian-policy>
期望結果:一個策略文件列表被發現了;存在缺點的策略配置。
工具:Nikto,OWASP Zed Attack Proxy Project,W3af。
?
?
?
?
*本文僅為《安全測試指南》一書的學習筆記
轉載于:https://www.cnblogs.com/4wheel/p/11488079.html
總結
以上是生活随笔為你收集整理的《安全测试指南》——配置管理测试【学习笔记】的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 无障碍开发(二)之ARIA role属性
- 下一篇: 无障碍开发(三)之ARIA aria-*