web安全测试（上）

前情提要：

公司的安全测试一直是安全部经理全权负责，测试部只做功能和自动化。

但是2019是公司业绩腾飞的一年，业务量越来越大了，安全部经理实在做不过来。

于是他给整个测试部培训《安全测试》，一来把活分出去，二来增强我们的安全意识和安全测试技能。

但是只学了两节课，把知识点罗列如下，并且题目列为“上篇”

安全测试的内容持续更新中。。。

---

正文：

一、Web漏洞

暴力破解、文件上传、文件读取下载、SSRF、代码执行、命令执行 逻辑漏洞（数据遍历、越权、认证绕过、金额篡改、竞争条件） 应用层拒绝服务漏洞 人为漏洞：弱口令

漏洞等级如下：

严重

直接获取重要服务器（客户端）权限的漏洞。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞； 直接导致严重的信息泄漏漏洞。包括但不限于重要系统中能获取大量信息的SQL注入漏洞； 能直接获取目标单位核心机密的漏洞；

高危

直接获取普通系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等； 严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改、重要业务配置修改、泄露； 可直接批量盗取用户身份权限的漏洞。包括但不限于普通系统的SQL注入、用户订单遍历； 严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie欺骗。 运维相关的未授权访问漏洞。包括但不限于后台管理员弱口令、服务未授权访问。

中危

需要在一定条件限制下，能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等； 任意文件操作漏洞。包括但不限于任意文件写、删除、下载，敏感文件读取等操作； 水平权限绕过。包括但不限于绕过限制修改用户资料、执行用户操作。

低危

能够获取一些数据，但不属于核心数据的操作； 在条件严苛的环境下能够获取核心数据或者控制核心业务的操作； 需要用户交互才可以触发的漏洞。包括但不限于XSS漏洞、CSRF漏洞、点击劫持；

二、辅助工具

知识基础： 《Web安全测试》 《HTTP权威指南》 《TCP/IP详解卷1:协议》

HTTP(s)监听工具： Fiddle2/4 Burpsuite1/2 Charlies …… Postman

其他辅助： 网络层监听：Wireshark webservice调试：SoapUI Pro API调试：ReadyAPI SQL注入：Sqlmap

三、内测漏洞

安全测试的指导原则： 所有的输入和输出都是危险的。

内测重点漏洞类型： （1）文件上传（webshell 可请求类型html htm shtml txt） （2）越权（无、平行越权、垂直越权） （3）公民敏感信息泄露（姓名、身份证、IP、电话） （4）目录穿越任意文件下载 （5）存储型XSS跨站脚本 （6）防护措施失效（无防护、验证码，IP验证、登录验证码等） （7）Id可遍历可预测，导致信息泄露，文件泄露