安全測試能做什么

安全測試指的在軟件產(chǎn)品的生命周期中，特別是產(chǎn)品開發(fā)基本完成到發(fā)布階段，對產(chǎn)品進行檢驗以驗證產(chǎn)品符合安全需求定義和產(chǎn)品質(zhì)量標準的過程。通過有效的安全測試手段，在系統(tǒng)功能穩(wěn)定可用的同時確保應用安全，不被外部攻擊擊穿、不發(fā)生數(shù)據(jù)泄露、提升IT產(chǎn)品的安全質(zhì)量，盡量在發(fā)布前找到安全問題予以修補降低成本。有合理客觀的安全度量，驗證安裝在系統(tǒng)內(nèi)的保護機制能否在實際應用中對系統(tǒng)進行保護，使之不被非法入侵，不受各種因素的干擾。

安全問題的危害

信息泄露于普通用戶而言，可能會個人生活造成巨大影響。比如，泄露了電話號碼，信息可能會在不同場景下被無數(shù)次倒賣，會在不合適的時間接收到來自于各個角色的騷擾電話，還能帶來詐騙風險。如果信息涉及到了家庭住址，還可能帶來人身安全的隱患。如果信息涉及到了電子郵箱，那么有可能收到N多封毫無價值的郵件。

信息泄露于公司而言，可能會引起重大的社會輿論，造成公司的重大公關事件，甚至影響投資人對公司的信心。同時給競爭對手可乘之機，利用安全事件打壓對方，需要很長時間來修復安全問題帶來的負面影響。

歷史上發(fā)生過許多重大的安全問題。比如，CSDN600萬用戶信息泄露、Facebook安全事件、共享單車數(shù)據(jù)泄露事件，均在不同程度上對客戶和公司造成了重大影響和損失。當然，阿里作為全球領先互聯(lián)網(wǎng)公司，每天受到外界攻擊達數(shù)億次，也同樣會發(fā)生不同程度的數(shù)據(jù)泄露問題。如何在合適的時間通過合適的手段來確保我們服務好客戶一直是涉足安全的同學致力學習和研究的方向。

常見安全漏洞及測試方法&工具

重大/高風險項目可申請集團安全同學介入進行安全評估及驗證。

垂直權限問題及測試方法

垂直權限漏洞是指Web應用沒有做權限控制，或僅僅在菜單上做了權限控制，導致惡意用戶只要猜到了其他頁面的URL，就可以訪問或控制其他角色擁有的數(shù)據(jù)或頁面，達到權限提升的目的。

業(yè)務測試過程中，要設計此場景安全測試用例，并切實落地執(zhí)行：用戶A登錄后，打開瀏覽器NetWork，查看所有XHR網(wǎng)絡請求。用戶B登錄后，A的請求，進行重復操作，若可以正當操作，則表示接口存在越權問題。CR過程，要針對有update、delete、add接口做著重觀察。

水平權限問題

水平權限漏洞是指Web應用程序接收到用戶請求時，沒有判斷數(shù)據(jù)的所屬人，或者在判斷數(shù)據(jù)所屬人時是從用戶提交的參數(shù)中獲取了userid，導致攻擊者可以自行修改userid修改不屬于自己的數(shù)據(jù)。例如，UserA和UserB的權限是一樣的，但是A可以看到B的數(shù)據(jù)，就是發(fā)生了水平越權問題。

容易發(fā)生水平越權的地方，除了身份（會話ID）標識外，站點還用其它信息（手機號、員工編碼、工號或者使用Hash算法生成的）用來標識用戶或用戶信息。例如，getAccount.do?accId=12345 ，此類接口就是高危的接口。

通常情況下，我們會用兩個測試賬號來訪問同一個Url，看能否返回相同的數(shù)據(jù)，如果能夠互通，則說明后端接口為對當前用戶做數(shù)據(jù)隔離，存在水平權限問題。系統(tǒng)功能測試過程中，設計兩個測試賬號，同時登陸兩個測試賬號，對比同一個頁面的數(shù)據(jù)是否存在交叉。CR過程中，注意針對查詢接口看是否都加上了用戶屬性作為數(shù)據(jù)隔離條件。

集團安全工具可掃描問題

命令注入/執(zhí)行

漏洞原理：用戶輸入被當做/拼接成服務器命令，交由生產(chǎn)網(wǎng)服務器代為執(zhí)行，從而導致用戶可以對服務器執(zhí)行任意命令，甚至置入木馬，反連，提權等風險操作；

測試方法：STC安全掃描；針對需要執(zhí)行命令的接口，輸入”cat /etc/passwd”或”| cat /etc/passwd”或者其他命令看是否會返回該命令的執(zhí)行結(jié)果，只要有一個命令可以返回執(zhí)行結(jié)果，判定有效；

代碼注入/執(zhí)行

漏洞原理：用戶輸入的代碼被服務器直接執(zhí)行，從而導致用戶可以對服務器執(zhí)行任意命令，甚至置入木馬，反連，提權等風險操作；

測試方法：安全掃描；針對需要執(zhí)行代碼的接口，根據(jù)可以執(zhí)行的代碼不同構造服務器命令調(diào)用的代碼進行測試，若可以正常執(zhí)行，則漏洞有效；

SSRF(服務端請求偽造)

漏洞原理：服務端代理用戶對用戶輸入的URL無條件發(fā)起請求，并將response返回給用戶。用戶可以填寫內(nèi)網(wǎng)的任意IP以及端口，用來進行內(nèi)網(wǎng)嗅探；

測試方法：STC安全掃描在某測試服務器上搭建對應測試HTTP服務器；在相關業(yè)務接口中填寫測試服務器地址提交，查看測試HTTP服務器是否會有訪問記錄，若有則說明有漏洞；

XXE(XML實體注入)

漏洞原理：用戶上傳XML文件，服務器在進行解析時沒有禁止實體解析，導致schema中的URL被訪問，造成類似SSRF的風險；

測試方法：安全掃描：在某測試服務器上搭建對應測試HTTP服務器；構造特定XML文件，其中某個schema URL為測試HTTP服務器地址；在XML上傳接口上傳該文件，若有看到測試服務器訪問記錄則有漏洞；Java業(yè)務建議使用集團掃描器進行掃描

反序列化漏洞

漏洞原理：從用戶可控的位置(cookie,參數(shù))中讀取序列化字符串，在服務端進行反序列化代碼執(zhí)行操作，因為反序列化的內(nèi)容可以寫入任意代碼，導致代碼注入執(zhí)行

測試方法：安全掃描；構造可執(zhí)行服務器命令的序列化字符串，填入對應參數(shù)/cookie中看是否可以執(zhí)行成功；

SQL注入

漏洞原理：用戶輸入的參數(shù)會直接拼接進入SQL語句中實現(xiàn)業(yè)務邏輯，若參數(shù)為精心構造的SQL語句，將會產(chǎn)生本意之外的SQL執(zhí)行，比如拆解sql的root密碼，進一步拖庫

測試方法：安全掃描；使用sqlmap進行sql注入掃描；

JSONP劫持

漏洞原理：Jsonp跨域提供數(shù)據(jù)傳輸時，未對訪問來源進行判斷，導致可被未授權的他方讀取接口中的敏感信息；

測試方法：安全掃描；通過burpsuite抓包，若發(fā)現(xiàn)有用戶個人標識/資源標識出現(xiàn)在參數(shù)或者cookie中時，嘗試修改并重放請求，若返回正常則存在漏洞

任意URL重定向

漏洞原理：業(yè)務進行跳轉(zhuǎn)的URL的域名可以被用戶任意修改(跳轉(zhuǎn)目標url在某個參數(shù)/cookie中)，從而跳轉(zhuǎn)至偽造的釣魚網(wǎng)站，引導用戶在網(wǎng)站上進行敏感信息輸入，從而

測試方法：安全掃描；修改跳轉(zhuǎn)目標URL參數(shù)，若能跳轉(zhuǎn)則有漏洞；

XSS(跨域腳本攻擊)

漏洞原理：用戶輸入的內(nèi)容，不經(jīng)過處理直接展示在web頁面上，若用戶輸入的是可執(zhí)行的js腳本將會被直接執(zhí)行，則可能導致session_id被盜取，csrftoken被盜取，jsonp劫持refer防御失效，同域名下敏感信息頁面被盜取等后果

測試方法：安全掃描；在輸入框輸入”< >’ “ &”，當該輸入框內(nèi)容展示在頁面上的時候，查看頁面源碼，若原樣輸入，則有漏洞，若被轉(zhuǎn)義成”<,>”等html實體，則說明做了安全防護；

CSRF(客戶端請求偽造)

漏洞原理：常規(guī)http接口的path,method, 參數(shù)等內(nèi)容完全可以被拆解，有人會偽造某些高危操作接口(比如點贊,收藏,好評),將該接口偽裝之后(比如生成短鏈接，二維碼)發(fā)送給其他用戶點擊，此時等于在不知情情況下做了一些對自己有害的操作

測試方法：安全掃描；使用burpsuite進行抓包，將參數(shù)中的token刪除，或者設置為空，重放請求，若正常訪問則說明有漏洞；

短信/郵件/電話炸彈

漏洞原理：短信/電話號碼，郵箱地址由用戶填寫，并且可以無頻率次數(shù)的給其發(fā)送信息，打電話，用以進行騷擾用戶；

測試方法：安全掃描；使用burpsuite進行信息發(fā)送接口抓包，并利用repeater功能進行批量訪問，如果每次都成功說明沒有做防護；

登錄口爆破

漏洞原理：登錄口設計不當，風控策略缺失/不得當，可以進行用戶名密碼爆破

測試方法：安全掃描；使用burpsuite，構造弱口令字典，使用repeater功能訪問登錄接口；