web安全测试之AppScan

第一部分：安全测试的对象

了解常见的WEB应用安全漏洞，参考OWASP Top 10 2017

理解这些常见漏洞的攻击原理，如何判断系统是否存在这些漏洞、如何防止这些漏洞。

 

第二部分：安全测试的实施

1.sql注入测试

确认所有的解释器都明确的将不可信数据从命令语句或者查询语句中区分出来

最有效的方法：代码审查、代码分析工具、测试人员也可以通过创建攻击的方法来确认这些漏洞

2.用户权限测试

对一些有权限控制要求的功能进行验证

3.敏感信息测试

用户密码没有加密显示或者存储、传输时是否被加密

银行卡号、手机号码等信息是否经过加密处理

4.跨站脚本漏洞

跨站脚本有两种漏洞类型：存储式、反射式，这两种可能发生在服务器也可能发生在客户端。

1.避免服务器XSS：对所有不可信数据进行恰当的转义

2.避免客户端XSS：避免传递不受信任的数据到js

......

web安全测试的测试点很多，手工测试很难完整的找出所有切入点，对每个切入点进行全面的检查也会耗费大量测试人员的时间精力。

 

第三部分：web安全测试工具AppScan

AppScan其实是一个产品家族，包括众多的应用安全扫描产品：

对开发阶段的源代码进行扫描的AppScan source edition

对WEB应用进行快速扫描的AppScan standard edition

进行安全管理和汇总整合的AppScan enterprise Edition

 

AppScan工具扫描的步骤如下：

• 提前备份数据库
• 创建新的常规扫描
• 登录方法，如果要输入验证码，选择提示方式
• 测试策略选择缺省值，也支持自定义配置
• 启动全面扫描
• 初次探索性扫描之后，工具会给出扫描专家建议，填写环境配置等
• 继续全面扫描，工具下方可以看到已访问的页面数、已测试的元素数、发送的请求数
• 全面扫描完成后，工具已经完成了自动探索和测试，此时可以进行手动探索
• 手动探索结束，工具会继续对手动探索到的页面继续进行安全扫描
• 等待扫描完成，扫描结果将以报告的形式输出

实际测试碰到一个严重的问题，扫描到一半，CPU飙升程序就会卡死。不知道是不是工作电脑太弱了