安全测试

相关资源列表 huntingday.github.io MITRE | ATT&CK 中文站 arxiv.org 康奈尔大学（Cornell University）开放文档 owasp.org.cn/owasp-proj OWASP 项目 irongeek.com/i.php? 国内外安全大会相关视频与文档 github.com/knownsec/KCo KCon 大会文章 PPT github.com/SecWiki/sec- 各种相关安全思维导图集合 github.com/knownsec/RD_ 知道创宇技能列表 github.com/ChrisLinn/gr 灰袍技能书 2017 版本 github.com/Hack-with-Gi GitHub 万星推荐：黑客成长技术清单 github.com/k4m4/movies- 安全相关电影 github.com/jaredthecode 一个用于了解车辆安全和汽车黑客的资源清单 jianshu.com/p/852e0fbe2 安全产品厂商分类 reddit.com/r/Python/com 麻省理工机器学习视频 github.com/fxsjy/jieba py，结巴中文分词 github.com/thunlp/THULA py，清华中文分词 github.com/lancopku/PKU py3，北大中文分词 github

【渗透测试-web安全】DVWA-暴力破解 基本思路 配置实操 登录系统 设置安全级别 burpsuite暴力破解 抓包 设置暴破内容 导入字典 开始暴破 基本思路 暴力破解首先应该做的是： 构建弱口令 构建常见用户名 根据对应的破解场景构建特定的用户名密码组合 配置实操 登录系统 设置安全级别 尝试Low安全设置下的暴力破解 构建常见用户名、密码组合 常见用户名 常见密码 常见用户名 常见密码 admin password root root test test administrator administrator manage abc123 system 123456 test123 qwerty 根据列表我们得知一共能够组成的组合是 7 * 7 = 49 中可能性的排列组合 burpsuite暴力破解 抓包 设置暴破内容 注：这里的Attack type应该设置成Cluster bomb的格式 导入字典 开始暴破 根据对应的数据长度我们能够判断正确的用户名密码： 如图我们能够知道对应的用户名是：admin 密码是：password 不同等级的破解难度肯定有巨大的差别所以日常进行破解的过程中时间可能会很久。 而且还有可能碰到很多反暴力破解的，比如设置IP黑名单、设置错误登录次数、设置每次登录错误后延时1分钟才能再次登录、设置验证码等 来源： https://blog.csdn

安全性测试入门（一）：Brute Force暴力破解攻击和防御 写在篇头： 随着国内的互联网产业日臻成熟，软件质量的要求越来越高，对测试团队和测试工程师提出了种种新的挑战。 传统的行业现象是90%的测试工程师被堆积在基本的功能、系统、黑盒测试，但是随着软件测试整体行业的技术积累和大环境，市场对于测试工程师的要求越来越全栈化，技术的突破是测试工程师的必修课。 安全测试就是测试工程师的高阶技能之一，不过安全性测试领域水非常深，对于普通测试工程师而言可能并不容易上手。 所以笔者准备写这个系列文章，做一个安全性测试入门级攻略。文章会采用DVWA项目，就其提供的几大模块，来进行安全性测试的初探和对安全性防御措施的简析。 1. DVWA - 非常脆弱的一个网页应用 DVWA- Damn voulnerable web application（直译就是：非常脆弱的网页应用-_-!!!），是UK的一家安全性研究机构发布的一套网站系统，专门用来展示网站安全性问题和防御机制。对于我们学习web安全性相关知识是一个很好的工具。 这套web项目可以在 http://www.dvwa.co.uk/ 官网由github下载。 DVWA的安装很简单，只要架设起本地的Tomcat+MySql服务器，将DVWA部署到相应目录即可。 部署完毕后，登录应用，可以在左侧的菜单中看到如下模块： 他们分别是Brute

配置管理测试 1、网路和基础设置配置测试（OTG-CONFIG-001） 　　 测试方法 ：已知服务器漏洞（APache、IIS等）。略。 2、应用平台配置测试（OTG-CONFIG-002） 　　 测试方法 ： 　　　　a. 黑盒测试：已知web服务器文件和目录；注释审查 　　　　b. 灰盒测试： 　　　　　　· 只启用应用程序需要的服务模块。 　　　　　　· 处理服务器错误（40x或50x），使用定制页面代替web服务页面。 　　　　　　· 确保服务器软件在操作系统中以最小化权限运行。 　　　　　　· 确保服务器软件正确地记录了合法的访问和错误异常的日志。 　　　　　　· 确保服务器被配置了正确的处理过载和防止DOS攻击。 　　　　　　· 永远不要允许非管理员身份（除NT SERVICE\WMSvc）去访问applicationHost.config，redirection.config和administration.config（任何读或写访问权限） 　　　　　　· 永远不要再网络上向外共享applicationHost.config，redirection.config和administration.config。 　　　　　　· 所有用户能默认读取.NET 框架 machine.config和 root web.config文件，不要把敏感信息存储到这些文件中

1、用户权限测试 　　（1） 用户权限控制 　　1） 用户权限控制主要是对一些有权限控制的功能进行验证 　　2） 用户A才能进行的操作，B是否能够进行操作（可通过窜session，将在下面介绍） 　　3）只能有A条件的用户才能查看的页面，是否B能够查看（可直接敲URL访问） 　　（2） 页面权限控制 　　1） 必须有登陆权限的页面，是否能够在不登陆情况下进行访问 　　2）必须经过A——B——C的页面，是否能够直接由A——C？ 　　2、URL安全测试 　　（1）适用范围： URL中含有参数，也就是通过GET方式传递的HTTP请求 　　（2）什么叫GET方式？ 　　HTTP 定义了与服务器交互的不同方法，最基本的方法是 GET 和 POST。 　　GET方式在客户端通过URL提交数据，数据在URL中可以看到，例如在日常中订购服务： 　　http：//www.cnblogs.com/javame/index.htm？servId=2 　　POST方式，数据放置在HTML HEADER内提交，数据在URL中看不到 　　GET只能传输比较少的数据，安全性较低，POST传输数据较多，安全性也比GET高 　　（3）测试关注点： 　　1） URL 参数检查： 　　A： 对URL中参数信息检查是否正确 　　如：URL中的订单号、金额允许显示出来的话，需要验证其是否正确 　　B：

sqlmap简介 sqlmap是一个开源的渗透测试工具，可以用来进行自动化检测，利用SQL注入漏洞，获取数据库服务器的权限。 它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 它支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的安全漏洞检测。 它支持五种不同的注入模式： 基于布尔的盲注，即可以根据返回页面判断条件真假的注入； 基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断； 基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中； 联合查询注入，可以使用union的情况下的注入； 堆查询注入，可以同时执行多条语句的执行时的注入。 sqlmap的安装方式很简单。只需要在python2.7的环境下执行 pip install sqlmap 即可，开袋即食。 靶机演示 接着上一篇 sql手工注入 我们来做一个sqlmap演示 最简单粗暴的方式，我们直接敲命令爆库。可以暴露出当前系统下所有的数据库名称

小时候对测试不很重视，比如让你做一件事，你会考虑其风险，别的因素吗。当你埋头只顾自己写软件代码，发布软件，就完事啦。但事实并非如此，对方说你的网站有漏洞，或者软件注册码容易破解，这些你并不知道。跟客户打交道，客户不是说做完项目就完事啦，往往要一个月维护。或者测试一下。意外的情况也很多，这些你绝对没想到。软件的bug如何产生的，在你写之前就产生。人的思维并非绝对的。往往是相对的，人们总喜欢自以为是，"I,M GOOD......"但测试离不开实践，不犯错误是不可能的。 软件测试就像给人诊断 软件测试 的过程其实很像给人看病的过程 首先，你看到一个人的症状的时候，就是看到了这个bug， 然后通过这个bug可以联想到某种病 通过对于这个种病的联想 你可以查看有关这种病的关联性bug是否在这个人的身上也都存在， 如果这种病的关联性的bug都存在 那么就可以很肯定的说，这个人是得了这个病。 。。。。 当修复了这个bug之后， 你应该把有关这个病的所有bug都验证一遍， 并且最好把全身都检查一遍，以确保没有影响到整个人 软件测试就像是向上帝祷告 你究竟有罪没有，牧师有时会问你有没有罪，求上帝宽恕 按照上帝说：“世人皆有罪，唯有上帝是洁净的” 软件产品代码bug，是存在的。 软件测试就像测试人生 如，一个故事----我为什么没升职 到公司 工作 快三年了，比我后来的同事陆续得到了 升职 的机会

检查项 风险等级 简单测试方法 输入输出校验 SQL注入 高 1、输入单引号'看程序是否会报错 XSS 高 1、给任意参数赋值“" '<img> abc ( ) =”看返回的页面中是否有对这些字符进行转义或其它编码处理 命令注入 高 1、在目测可能有系统命令字符串的参数中输入常见的系统命令，看返回结果中是否能体现系统命令执行结果 代码注入 高 1、根据测试目标应用系统的编程语言类型尝试输入简易的测试语句 HTTP响应拆分 高 1、在参数中输入包含%0d%0a%0d%0a的字符串，看返回的请求包是否会被%0d%0a%0d%0a拆分成两个响应头 URL重定向 高 观察URL或抓包，看请求中是否有指定跳转目标URL的参数，尝试更改这个参数值 路径操纵 高 1、观察url或抓取下载请求包，看是否有指定引用文件名的参数，尝试结合../遍历目录。 拒绝服务 高 1、观察请求中是否包含可能控制或影响服务端程序处理性能的参数，尝试修改为超大值，看应用服务器是否还能正常响应 安全特性 协议混用 中 1、抓包观察，同一个域名是否混用http、https和其他协议 永久性cookie 中 1、测试cookie是否永久有效 不安全的随机 中 1、测试图片验证码或手机认证码及其他随机参数的随机性 封装 CSRF 中 1、设定目标请求的参数值，使用代理工具发送请求包，看操作是否能按计划执行成功 系统信息泄露

搭建安全测试环境（DVWA） DVWA 全名叫Damn Vulnerable Web Application，是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用，有各种各样的漏洞，专门让你用来联系安全测试的。简直太适合初学者了有没有。 下载 那么首先我们需要搭建PHP/MYSQL的环境，很简单，用xampp就好了， 我是超链接 。 然后我们下载DVWA的应用包， 点我 。 这里要提醒你，因为这个应用充满了各种漏洞，不要在本机上直接安装，否则你的电脑被黑了可不要怪我。 不能在本机上装，那就用虚拟机呗，安装VMware，再装个XP系统，我们的准备活动就差不多了。 安装 在虚拟机里，解压xampp并安装，非常简单，装好直接就打开了主面板。 解压dvwa，改名为dvwa并放在：“[xampp安装目录]\htdocs\”目录下 修改“[xampp目录]\htdocs\dvwa\config\config.inc.php”里面连接MySQL数据库的密码、端口（xampp默认MySQL用户名密码是root/root，默认端口是3306） 启动xampp的Apache和MySQL服务 获取虚拟机IP，并通过“ http://[ 虚拟机IP]:80/dvwa”进入dvwa的安装界面 点击【Create / Reset Database

1、用户权限测试 　　（1） 用户权限控制 　　1） 用户权限控制主要是对一些有权限控制的功能进行验证 　　2） 用户A才能进行的操作，B是否能够进行操作（可通过窜session，将在下面介绍） 　　3）只能有A条件的用户才能查看的页面，是否B能够查看（可直接敲URL访问） 　　（2） 页面权限控制 　　1） 必须有登陆权限的页面，是否能够在不登陆情况下进行访问 　　2）必须经过A——B——C的页面，是否能够直接由A——C？ 　　2、URL安全测试 　　（1）适用范围： URL中含有参数，也就是通过GET方式传递的HTTP请求 　　（2）什么叫GET方式？ 　　HTTP 定义了与服务器交互的不同方法，最基本的方法是 GET 和 POST。 　　GET方式在客户端通过URL提交数据，数据在URL中可以看到，例如在日常中订购服务： 　　http：//www.cnblogs.com/javame/index.htm？servId=2 　　POST方式，数据放置在HTML HEADER内提交，数据在URL中看不到 　　GET只能传输比较少的数据，安全性较低，POST传输数据较多，安全性也比GET高 　　（3）测试关注点： 　　1） URL 参数检查： 　　A： 对URL中参数信息检查是否正确 　　如：URL中的订单号、金额允许显示出来的话，需要验证其是否正确 　　B：