文档名称 文档密级
7、 分析结果 预期结果 备注 测试结果 所有对目录的访问均不能打印出文件列表。 3.3.5 文件归档测试
编号 测试用例名称 测试目的 SEC_Web_ DIR_05 文件归档测试 在网站管理员的维护过程中,很多情况下会对程序或者页面进行备份(可能是有意的或者是无意的,如ultraedit在修改后会生成文件名加bak后缀的文件)。攻击者通过直接访问这些备份的路径可以下载文件 用例级别 测试条件 1 1、 拥有运行Web服务器的操作系统帐号和口令 2、 Web业务运行正常 执行步骤 1、 登陆后台Web服务器的操作系统 2、 以cd命令进入可以通过Web方式访问的目录(比如tomcat服务器的$home/webapps目录,jboss服务器的$home/jboss/server/default/deploy目录) 3、 用find命令,查找是否存在以下备份文件,如果存在则测试不通过。 find ./ -name \find ./ -name \2013-8-9
华为机密,未经许可不得扩散
第26页, 共63页
文档名称
find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \find ./ -name \文档密级
预期结果 可以通过Web方式访问的目录,不存在开发过程(包括现场定制)中的产生的临时文件、备份文件等。 备注 测试结果 3.4 认证测试
暴力破解是目前最直接有效的攻击方式,特别对于电信业务来说,很多情况下口令都为6位纯数字,很容易被攻击。本测试项在于检查认证系统对暴力破解的防护性。
在以下的一些测试中,围绕能否满足暴力破解进行的设计,未设计直接进行暴力破解的攻击用例。如果需要,测试人员可以使用hydra和AppScan中集成的Authentication Tester工具进行。
3.4.1 验证码测试
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_AUTHEN_01 验证码测试 查看是否有验证码机制,以及验证码机制是否完善 1 1、 已知Web网站地址 2、 Web业务运行正常 2013-8-9
华为机密,未经许可不得扩散
第27页, 共63页
文档名称
3、 存在登陆页面 文档密级
执行步骤 1、 登陆页面是否存在验证码,不存在说明存在漏洞,完成测试 2、 验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞 3、 在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞。(检测方法:输入错误的用户名或密码、错误的验证码。观察返回信息,是否只提示验证码错误,也就是说当验证码错误时,禁止再判断用户名和密码。) 4、 验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞,完成测试 5、 生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞,完成测试 6、 生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞,完成测试 7、 请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次后出现同一验证码)说明存在漏洞,完成测试 8、 观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞,完成测试 9、 验证码在认证一次后是否立即失效: ? ? ? ? ? ? ? 请求登陆页面,得到生成的验证码 开启WebScarab,配置对GET和POST请求进行拦截;并在浏览器中配置代理服务器IP为127.0.0.1,端口为8008 填入错误的用户名和口令,填入正确的验证码,提交表单 从WebScarab拦截数据中复制对应登陆请求的POST或GET消息(文本格式),将其中的口令更改一个字符 在命令行中输入telnet <服务器域名或IP> <端口>,回车 将修改的内容粘贴到命令行窗口中,回车 判断返回的页面中是否包含“验证码错误”(或类似)的提示,如果没有,说明存在漏洞,完成测试 预期结果 备注 不存在上述漏洞 本用例根据最严格的方式对目标进行测试,如果产品线对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试 测试结果 3.4.2 认证错误提示
编号 测试用例名称 测试目的 2013-8-9
SEC_Web_ AUTHEN_02 认证错误提示 为了进行暴力破解,攻击者需要知道已存在的用户名,再对该用户名进行攻击。所以,本测试用于确认目标服务器在处理登陆操作时会提示出具体的信息。 华为机密,未经许可不得扩散 第28页, 共63页
用例级别 测试条件 文档名称 文档密级
1 1、 已知Web网站地址 2、 Web业务运行正常 3、 存在登陆页面 执行步骤 1、 在用户名(或其他身份标志)的输入框中输入noexists,口令任意 2、 若服务器返回提示类似于“用户名不存在”,则说明存在漏洞,完成测试 3、 使用正确的用户名(或同功能的身份标志),在口令框中输入noexists 4、 若服务器提示类似于“密码/口令错误” “用户名不存在”之类的信息,则说明存在漏洞,完成测试。 预期结果 备注 测试结果 服务器不会针对认证错误的情况提示准确的信息。 3.4.3 锁定策略测试
编号 测试用例名称 测试目的 SEC_Web_ AUTHEN_03 锁定策略测试 在缺少锁定策略和验证码设计有问题的情况下,攻击者可以通过枚举的方式来进行暴力猜解。本测试用于发现目标系统是否缺少锁定策略。 用例级别 测试条件 1 1、 已知Web网站地址 2、 Web业务运行正常 3、 存在登陆页面 执行步骤 1、 打开登陆页面 2、 在用户名(或同功能的身份标志)输入框中输入正确的用户名 3、 在口令(或同功能的口令标志)输入框中输入错误的口令 4、 在验证码输入框(如果有的话)中输入正确的验证码 5、 提交表单 6、 重复1~5步骤10次 7、 判断目标系统返回的信息 预期结果 备注 目标系统提示“帐号已锁定”或者“IP已锁定”或者类似“锁定”等之类的信息。 第6步中重复步骤次数视各产品实际情况而定。 另外,如果系统存在一些认证接口(带认证参数的URL,不是普通登陆页面),那么也需要对认证接口进行失败认证尝试,以测试其锁定策略。 测试结果 2013-8-9
华为机密,未经许可不得扩散 第29页, 共63页
文档名称 文档密级
3.4.4 认证绕过测试
编号 测试用例名称 测试目的 用例级别 测试条件 SEC_Web_ AUTHEN_04 认证绕过测试 发现目标认证系统是否存在绕过的可能 1 1、 已知Web网站地址 2、 Web业务运行正常 3、 存在登陆页面 执行步骤 1、 打开登陆页面 2、 在用户名(或同功能的身份标志)输入框中输入admin‘ or ?1‘=‘1 3、 在口令(或同功能的口令标志)输入框中输入admin‘ or ?1‘=‘1 4、 提交表单,观察返回结果 预期结果 备注 不能够成功登陆。 如果目标系统采用javascript限制了输入格式,可以通过WebScarab来进行修改。关于WebScarab的使用说明,请参看相关帮助文档。 测试结果 3.4.5 找回密码测试
编号 测试用例名称 测试目的 SEC_Web_ AUTHEN_05 找回密码测试 网站在密码重设和密码找回功能上如果存在着缺陷,攻击者可以通过此功能找到指定用户的密码,更改指定用户的密码让其不能登陆,造成业务数据修改等。 用例级别 测试条件 1 1、 已知Web网站地址 2、 Web业务正常运行 3、 网站提供密码重设或密码找回的功能 4、 已知某正确的用户账号 执行步骤 1、 打开密码找回功能的页面 2、 如果没有对用户的合法身份进行任何验证就发送密码,则说明存在漏洞。 3、 系统正常需要用户输入一些能够证明其合法身份的信息(比如回答一些原来注册用户时填写的一些信息,比如小学教师姓名等),如果是回答问题的方式,则判断问题是否类似于“我的生日”或“我的姓氏”这种答案限定范围非常小的问题。如果是说明存在漏洞,完成测试,否则进行下一步。 4、 如果为输入密码的方式,则查看该页的html源代码 2013-8-9
华为机密,未经许可不得扩散 第30页, 共63页