嚴老師的干貨分享

——成都正厚軟件

安全測試在做什么？

掃描？在很多人的眼中，做安全的就是整天拿個工具在哪里做掃描操作，使用各種不同的工具做掃描。是的，掃描是安全測試的很重要的一部分，掃描可以快速有效的發現問題。掃描工具的易用性、方便性決定了重要地位。但是掃描工具的局限性、程序的不夠靈活等缺點也是顯而易見的。不管是掃描報告的分析、漏洞的深度挖掘、測試的組織等等的工作都離不開安全測試人員，所以只能說掃描工具減輕了測試人員的工作量，是安全測試的一種手段。

安全的本質是什么？ 

信任、人性（網絡安全的漏洞是人）、止損、攻防

1.概念定義：

敏感數據：敏感數據的具體范圍取決于產品具體的應用場景，產品應根據風險進行分析和判斷。典型的敏感數據包括口令、銀行帳號、大批量個人數據、用戶通信內容和密鑰等。個人數據：指直接通過該數據或者結合該數據與其他的信息，可以識別出自然人的信息。

匿名化：指對個人數據進行的更改（例如單向散列、截短、替換等，如需保留個人數據真實值與替換值之間的對應關系，可以使用對稱加密或映射表方式，但密鑰/映射表必須由數據所有者控制），使原來有關個人的信息不再能歸屬到一個可識別的自然人，或推理這種歸屬需要耗費過多、不相稱的時間、費用和精力

2.我們應該如何去著手

如何著手去做這個系統安全測試呢？作為一個測試人員要**系統整體的安全，這就需要有一個整體的結構的框架，就像蓋房子一樣，先造鋼筋混凝土框架，然后磚塊去填充它。這里的鋼筋混凝土框架就是安全特性方向，其實就是從整體方向上的一個劃分，可以有如下簡單的劃分。

2.1.測試的特性

安全特性：操作系統安全、數據庫安全、WEB安全、軟件的發布和安裝安全、協議與接口攻防、敏感數據保護、手機端安全、靜態代碼分析。

2.1.1.操作系統安全操作系統安全我們可以把它分為以下幾塊：系統漏洞（操作系統補丁）、系統配置（安全加固），業界權威工具Nessus，其他如retina、綠盟、天鏡等。開源的工具可以使用OpenVAS。

2.1.2.數據庫

數據庫安全我們可以把它分為以下幾塊：數據庫漏洞（補丁）、數據庫配置特產（安全加固），工具可以使用Ngs。2.1.3.web安全

數據庫安全我們可以把它分為以下幾塊：身份驗證、驗證碼、會話管理、權限管理、敏感信息傳輸、安全審計、信息泄露、輸入校驗、輸出編碼、上傳下載、異常處理、注釋代碼等，容器的安全（tomcat），應用軟件安全（nginx、負載均衡軟件、jquery等），掃描工具：appScan、awvs2.1.4.軟件的發布與安裝安全發布件的完整性校驗（簽名、哈希）防病毒：需要安裝的軟件需要經過常用的殺毒軟件（如360、卡巴斯基、金山毒霸等）的掃描，**沒有病毒特種碼，以免被殺軟處理掉。2.1.5.協議與接口攻防業務交互數據在網絡中使用的協議安全性測試，協議測試工具：codenomical對外開放的端口:系統對外開放的端口必須是必須的，禁止開放無用端口端口掃描工具：Nmap，近端可以直接在服務器上使用命令查看接口：接口接受的數據需要做嚴格的處理，接口數據嚴格校驗測試2.1.6.敏感數據保護識別敏感數據：密碼、秘鑰、會話標識；個人信息、商業機密、客戶信息等保護：加密、存儲位置、傳輸方式；獲取數據脫敏、匿名化

2.1.7.手機端安全1、app的簽名、反逆向2、用戶隱私3、文件權限4、網絡通訊5、運行時解釋保護6、組件權限保護7、升級8、3rd庫2.1.8.靜態代碼分析（純白盒）白盒測試主要是通過對代碼的瀏覽來發現問題，當然問題的類型可能是跟我們黑灰盒總結的一致，拿出來單獨講是因為其不同于其他的測試方式。1、危險函數、方法2、工具檢測3、邏輯漏洞

灰盒:結合白盒和黑盒的一些思路，在實際的代碼審計中建議采用灰盒的方式，在需要的地方對代碼進行動態調試查看。審計中思路可以考慮如下這些部分：

1、涉及敏感數據的時候，檢查是get、post哪種形式發送數據Get傳輸的數據會被記錄在代理、瀏覽器、web容器tomcat等的日志中

2、提交銘感數據的時候是否有防止csrf的token、refer、驗證碼等

3、sql注入1）Statement和preparestatement2）mybitas框架 #和$

4、XSS我們用的antisamy只能過濾基于標簽的XSS偽造，其他的無法過濾，需要做二次過濾

5、邏輯:此處是指，邏輯思路不合理，不符合安全的一些思想，如權限最小化等等

6、參數范圍是否造成dos或者影響系統性能

7、權限校驗、越權：橫、縱、多步驟關聯性

8、session會話管理1）常規cookie及session形式2）把token作為session的形式，特別注入登錄用戶和token的綁定關系

9、參數是否是簡單形式，是否可以造成遍歷

10、代碼中使用的第三方插件、開源軟件是否是嘴新、是否有安全漏洞

11、代碼中所使用的加密算法，是否是安全的

12、跳轉中的redirect形式中不要帶敏感信息，會被發回客戶端重新請求的，相當于把這些參數放在了get請求

13、SSRF服務端請求偽造，注意url中含有另外一個url的請求1）源碼中使用urlconnection 支持的協議除了http和https以外，還有file、ftp、jar、mailto等2）request、httpurlconnecttion、httpClient、URL等發起網絡請求

14、加密算法的使用，是否使用的是不合場景的弱算法

15、數據插入自增Id攻擊數據傳入過來做插入動作，并且使用spring自動綁定對象方法獲取數據，之后使用生成的插入sql，此時自動增長id不要寫到更新語句中，如果寫入可能造成惡意注入integer范圍最da值2147483647，使功能不可用dos

16、Spring自動綁定參數，參數擴展攻擊后臺使用的對象參數自動綁定獲取，相應的sql使用了自動的if是否為null和為空的判斷條件，前臺可以根據猜測注入隊形的相應的屬性實現非預料結果。