备案控制台
探索云世界
开发者社区 安全 文章 正文

网站漏洞详细的渗透测试手法分析

2019-10-17 1589
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权的漏洞检测方法,希望大家能对自己的网站安全进行提前预防和了解,再次提醒做安全测试前必须要有正规的授权才能进行测试,提供网站的安全性保障权益。

最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权的漏洞检测方法,希望大家能对自己的网站安全进行提前预防和了解,再次提醒做安全测试前必须要有正规的授权才能进行测试,提供网站的安全性保障权益。
10

3.11.1. Xpath定义

XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。

3.11.2. Xpath注入攻击原理

XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作,下面以登录验证中的模块为例,说明 XPath注入攻击的实现原理。

在Web 应用程序的登录验证程序中,一般有用户名(username)和密码(password) 两个参数,程序会通过用户所提交输入的用户名和密码来执行授权操作。若验证数据存放在XML文件中,其原理是通过查找user表中的用户名 (username)和密码(password)的结果来进行授权访问,

例存在user.xml文件如下:

Ben

Elmore

abc

test123

Shlomy

Gantz

xyz

123test

则在XPath中其典型的查询语句如下:

//users/user[loginID/text()=’xyz’and password/text()=’123test’]

但是,可以采用如下的方法实施注入攻击,绕过身份验证。如果用 户传入一个 login 和 password,例如 loginID = ‘xyz’ 和 password = ‘123test’,则该查询语句将返回 true。但如果用户传入类似 ‘ or 1=1 or ”=’ 的值,那么该查询语句也会得到 true 返回值,因为 XPath 查询语句最终会变成如下代码:

//users/user[loginID/text()=”or 1=1 or ”=” and password/text()=” or 1=1 or ”=”]

这个字符串会在逻辑上使查询一直返回 true 并将一直允许攻击者访问系统。攻击者可以利用 XPath 在应用程序中动态地操作 XML 文档。攻击完成登录可以再通过XPath盲入技术获取最高权限帐号和其它重要文档信息。

3.12. 逻辑漏洞 / 业务漏洞

9

3.12.1. 简介

逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。

在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。

3.12.2. 安装逻辑

查看能否绕过判定重新安装
查看能否利用安装文件获取信息
看能否利用更新功能获取信息
3.12.3. 交易

3.12.3.1. 购买

修改支付的价格
修改支付的状态
修改购买数量为负数
修改金额为负数
重放成功的请求
并发数据库锁处理不当
3.12.3.2. 业务风控

刷优惠券
套现
3.12.4. 账户

3.12.4.1. 注册

覆盖注册
’尝试重复用户名
注册遍历猜解已有账号
3.12.4.2. 登录

撞库
账号劫持
恶意尝试帐号密码锁死账户
3.12.4.3. 找回密码

重置任意用户密码
密码重置后新密码在返回包中
Token验证逻辑在前端
3.12.4.4. 修改密码

越权修改密码
修改密码没有旧密码验证
3.12.5. 验证码

验证码强度不够
验证码无时间限制或者失效时间长
验证码无猜测次数限制
验证码传递特殊的参数或不传递参数绕过
验证码可从返回包中直接获取
验证码不刷新或无效
验证码数量有限
验证码在数据包中返回
修改Cookie绕过
修改返回包绕过
图形验证码可OCR或使用机器学习识别
验证码用于手机短信/邮箱轰炸
3.12.6. Session

Session机制
Session猜测
Session伪造
Session泄漏
Session Fixation
3.12.7. 越权

水平越权
攻击者可以访问与他拥有相同权限的用户的资源
权限类型不变,ID改变
垂直越权
低级别攻击者可以访问高级别用户的资源
权限ID不变,类型改变
交叉越权
权限ID改变,类型改变
3.12.8. 随机数安全

使用不安全的随机数发生器
使用时间等易猜解的因素作为随机数种子
3.12.9. 其他

用户/订单/优惠券等ID生成有规律,可枚举
接口无权限、次数限制
加密算法实现误用
执行顺序
敏感信息泄露
3.13. 配置安全

8

3.13. 配置安全

弱密码
位数过低
字符集小
为常用密码
个人信息相关(手机号 生日 姓名 用户名)
使用键盘模式做密码
敏感文件泄漏
.git
.svn
数据库
Mongo/Redis等数据库无密码且没有限制访问
加密体系
在客户端存储私钥
三方库/软件
公开漏洞后没有及时更新,如果对此有进一步的想加强网站安全性以及渗透测试服务,可以咨询专业的网站安全公司来处理解决。

文章标签:
安全
数据安全/隐私保护
网络安全
数据格式
XML
关键词:
测试分析
网站测试
渗透测试漏洞
渗透测试分析
渗透测试网站
网站安全
目录
相关文章
jianz123
|
15天前
|
测试技术 C语言
网站压力测试工具Siege图文详解
网站压力测试工具Siege图文详解
jianz123
23 0
开心工作室_kaic
|
1月前
|
敏捷开发 运维 安全
链家网站系统测试设计与实现_kaic
链家网站系统测试设计与实现_kaic
开心工作室_kaic
15 0
此星光明
|
2月前
|
计算机视觉
Google Earth Engine(GEE)——使用MODIS数据单点测试SG滤波和harmonics method 滤波的差异分析
Google Earth Engine(GEE)——使用MODIS数据单点测试SG滤波和harmonics method 滤波的差异分析
此星光明
46 0
@北鲲
|
2月前
|
SQL 安全 关系型数据库
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞,品相还不错,可执行任意 SQL 语句。 总之,吃了一惊,一个防 SQL 注入的工具居然也有 SQL 注入漏洞。 请看这段代码
@北鲲
416 1
技术混子
|
1月前
|
jenkins 测试技术 持续交付
提升软件测试效率与准确性的策略分析
【2月更文挑战第28天】 在快速迭代的软件发展周期中,高效的测试流程是确保产品质量和用户满意度的关键。本文旨在探讨提高软件测试效率和准确性的策略,包括自动化测试工具的选择、测试用例的优化设计以及持续集成的实践。通过分析当前软件测试领域面临的挑战,提出了相应的解决方案,并通过案例分析来展示这些策略的实际应用效果。文章的目的是为软件测试工程师提供实用的指导和参考,帮助他们在保证测试质量的同时,缩短测试周期,降低成本。
技术混子
42 1
请看我回答~
|
1天前
|
测试技术 数据安全/隐私保护
深入理解与应用软件测试中的边界值分析法
【4月更文挑战第23天】在软件测试的诸多技术中,边界值分析法因其简洁性和高效性而备受青睐。本文旨在探讨边界值分析法的核心原理及其在实际测试场景中的应用。通过对边界条件进行系统的识别、分类和测试,该方法能够有效地发现软件缺陷。我们将详细讨论如何确定边界值,设计测试用例,以及如何处理复杂数据类型的边界情况。此外,文章还将展示通过案例研究来验证边界值分析法在提升测试覆盖率和发现潜在错误方面的实际效益。
请看我回答~
8 0
4as3qn2go3ure
|
7天前
R语言估计多元标记的潜过程混合效应模型(lcmm)分析心理测试的认知过程
R语言估计多元标记的潜过程混合效应模型(lcmm)分析心理测试的认知过程
4as3qn2go3ure
26 0
学编程的小程
|
12天前
|
Web App开发 前端开发 Java
框架分析(11)-测试框架
框架分析(11)-测试框架
学编程的小程
30 0
jianz123
|
15天前
|
测试技术 Linux Apache
网站压力测试工具webbench图文详解
网站压力测试工具webbench图文详解
jianz123
12 0
sunrr
|
16天前
|
Web App开发 搜索推荐 测试技术
网站速度测试
【4月更文挑战第8天】网站速度测试
sunrr
12 2

热门文章

最新文章

  • 1
    深入理解自动化测试框架Selenium的设计与实现
  • 2
    如何入门做物联网系统压测?
  • 3
    渗透测试工程师面试题大全
  • 4
    《手把手教你》系列技巧篇(十八)-java+ selenium自动化测试-元素定位大法之By css中卷(详细教程)
  • 5
    使用金庸的著作,来测试阿里通义千问最新开放的长文档处理功能
  • 6
    《手把手教你》系列技巧篇(十四)-java+ selenium自动化测试-元素定位大法之By xpath上卷(详细教程)
  • 7
    《手把手教你》系列技巧篇(九)-java+ selenium自动化测试-元素定位大法之By name(详细教程)
  • 8
    《手把手教你》系列技巧篇(十七)-java+ selenium自动化测试-元素定位大法之By css上卷(详细教程)
  • 9
    提升软件测试效率与质量的策略
  • 10
    软件测试|docker搭建Jenkins+Python+allure自动化测试环境
  • 1
    【AI大模型应用开发】【LangSmith: 生产级AI应用维护平台】1. 快速上手数据集与测试评估过程
    7
  • 2
    深入理解与应用软件测试中的边界值分析法
    8
  • 3
    VulnHub 靶场--super-Mario-Host超级马里奥主机渗透测试过程
    8
  • 4
    深入白盒测试:静态分析与动态覆盖的协同策略
    5
  • 5
    Linux(32)Rockchip RK3568 Ubuntu22.04上部署 Docker: 详细配置与功能测试(下)
    19
  • 6
    深入白盒测试:提升软件质量与效率的关键策略
    5
  • 7
    深入白盒测试:提升软件结构透视能力
    3
  • 8
    Python自动化测试面试:unittest、pytest与Selenium详解
    13
  • 9
    Spark【环境搭建 01】spark-3.0.0-without 单机版(安装+配置+测试案例)
    6
  • 10
    深入解析白盒测试:提升软件质量与效率的关键
    12

    • 相关课程

    更多
  • MSE微服务测试最佳实践 - 自动化回归
  • 网络安全攻防 - Web渗透测试
  • 互联网安全-移动APP漏洞风险与解决方案
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • 移动互联网测试到质量的转变
  • 给ITer的技术实战进阶课-阿里CIO学院独家教材(四)
  • F2etest — 多浏览器兼容性测试整体解决方案

    • 相关实验场景

    更多
  • 1分钟代码漏洞自动检测
  • 快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试
  • 极致弹性的PolarDB Serverless确保数据业务持续在线
  • 测试场景(RDS无优惠)
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)