随着因特网的不断发展,人们对网路的使用越来越频繁,通过网路进行购物、支付等其他业务操作。而一个潜在的问题是网路的安全性怎么保证,一些黑客借助站点安全性的漏洞来盗取用户的信息,使用户的个人信息泄露,所以站点的安全性显得很重要。
Web系统的安全性测试包括以下内容:
(1)Web漏洞扫描
(2)服务器端信息测试
(3)文件和目录测试
(4)认证测试
(5)会话管理测试
(6)权限管理测试
(7)文件上传下载测试
(8)信息泄露测试
(9)输入数据测试
(10)跨站脚本功击测试
(11)逻辑测试
(12)搜索引擎信息测试
(13)WebService测试
(14)其他测试
本章节主要给你们介绍第(7)点——文件上传下载测试
文件上传下载测试包括两方面内容:一是文件上传;二是文件下载。文件上传主要是测试系统是否对从顾客端递交的上传文件进行约束,不能让用户在顾客端随便递交任何文件。文件下载主要是测试在下载时是否存在跨越目录、越权的情况。
(1)文件上传测试
如今好多网站都提供文件上传功能,假如在服务器端没有对上传文件的类型、大小、保存的路径及文件名进行严格限制,功击者就很容易上传侧门程序取得WebShell,因而控制服务器。测试
步骤如下:
步骤1:登入网站,并打开文件上传页面。
步骤2:单击“浏览”按钮,并选择本地的一个JSP文件(如test.jsp),确认上传。
步骤3:假如顾客端脚本限制了上传文件的类型(如容许gif文件),则把test.jsp改名为test.gif;配置HTTPProxy使用WebScarab工具对HTTP进行恳求拦截;重新单击“浏览”按钮,并选择test.gif,确认上传。
步骤4:在WebScarab拦截的HTTP恳求数据中,将test.gif更改为test.jsp,再发送恳求数据。
步骤5:登陆后台服务器,用命令find/-nametest.jsp查看test.jsp文件储存的路径。假如可以直接以Web形式访问,则构造访问的URLlinux浏览器下载的文件在哪里,并通过浏览器访问test.jsp,假如可以正常访问,则早已取得WebShell,测试结束。若果未能访问,比如test.jsp储存在/home/tomcat/目录下,而/home/tomcat/webapps目录对应,则进行下一步操作。
步骤6:重复步骤1~3,在WebScarab拦截的HTTP恳求数据中,将test.gif更改为test.jsp,再发送恳求数据。
步骤7:在浏览器地址栏中输入,访问该侧门程序arch linux,取得WebShell,结束测试。
预期结果:服务器端对上传文件的类型、大小、保存的路径及文件名进行严格限制,确保未能上传侧门程序。
(2)文件下载测试
如今好多网站提供文件下载功能,倘若网站对用户下载文件的权限控制不严,功击者就很容易借助目录跨越、越权下载,下载一些权限外的资料(例如其他用户的私有、敏感文件)。
如某下载页面URL(假定该页面是某用户的个人信息,对应的URL为),测试时可以推测并修改URL路径,对URL进行访问:
……
观察页面返回信息,假如可以越权获取到其他用户的私有、敏感文件linux浏览器下载的文件在哪里,则说明存在漏洞。
而一些网站接受类似于文件名的参数用于下载或显示文件内容,假如服务器未对这些情况进行严格判别,功击者同样可以通过更改这个参数值来下载、读取任意文件,例如/etc/password文件。测试时可以修改URL对其进行测试。
……
对于UNIX/Linux服务器可以尝试下载/etc/passwd文件,对于Windows服务器可以尝试下载c:boot.ini文件。
观察页面返回信息arch linux,假如可以下载/etc/passwd或c:boot.ini文件的信息,说明下载文件有漏洞。