软件安全测试--详细总结

②选择权限已撤销的用户进行登录,查看用户是否具备已撤销的权限。

8、禁用

①具有用户管理权限角色用户进入系统,选择一个用户,对所选用户的权限进行查看和禁用;

②选择权限已禁用的用户进行登录,查看用户是否能够登入系统。

9、管理规范

查看系统是否具备安全管理项。

10、安全管理角色

①查看系统具备的所有角色,以及角色对应的权限分配;

②为角色选择不同的权限进行添加;

③检查是否需要明确的请求才赋予特定的角色权限。

④系统管理员对默认角色权限进行修改。

⑤管理员添加角色,分配角色的权限,检查分配角色的权限是否能大于该管理员所拥有的权限。

二、数据安全

1、原始数据的安全性

为了保证原始数据的原始性,原始数据一旦保存,便不能被更改。

2、互联网数据的安全性

采用数据库分离的策略,保证核心业务数据库不会受到攻击。

3、备份和恢复

检查是否提供数据备份与恢复手段,检测是否提供数据备份与还原手段。

三、安全漏洞检查

1、软件安全漏洞扫描

安全漏洞扫描旨在扫描出软件存在的SQL盲注、XSS(跨站脚本攻击)等漏洞。

这里需要推荐使用AppScan这款工具。

2、系统漏洞检查

①操作系统是否存在漏洞,是否有更新最新的安全漏洞补丁。

②系统是否有开启防火墙。

③系统是否存在弱口令。

④系统的IP是否远程可ping,是否有开放一些敏感的端口。

3、服务组件安全

①如apacheIISnginx等服务容器是否存在安全漏洞。

②数据管理软件版本是否过低,是否存在安全漏洞。

③其它,如easyuidiscuz第三方框架模板是否存在安全漏洞。

四、社会工程方面测试

当一个软件可能做到尽可能安全了,但仍然可能存在泄露。除了漏洞是很难避免外,更可能是社会工程方面存在问题。原来笔者看过专门的一本黑客书籍,其中大部分的突破都是由于非软件性方面进行攻破的。有下列可参考原因:
1、服务器所在地安检不到位

①通过伪造证件混入机房。

②通过跟随、夜间安检薄弱情况下混入机房。

2、机房网络与外部网络隔离不彻底

①可任由大众进入的非隔离区域存在连入内部机房网络接口。

②内部网络存在可侦测的wifi信号,在非隔离区域可连接进入内部网络。

在非隔离区,存在其它可连入内部网络的方式。

3、内部安全意识不足

①管理上,存在安全隐患。比如大家的密码为员工号,或者“姓名+工号”等规则,让骇客有迹可循。

②对于重要的敏感纸质、光盘等资料保密不到位,如重要信息的纸质材料没有彻底销毁放入垃圾桶。

③没有内部安全保密协议和手册。

4、内部员工安全意识不到位

①重要的口令、密码非常傻瓜,比如为自己的身份证号码、生日日期等。

②自己的移动设备,如手机、IPAD等开启可供其它人访问的不安全的wifi信号,导致骇客的利用。

③主动和无意识的泄露内部的重要安全信息。

常用安全测试工具推荐

1、操作系统扫描工具

CIS-CAT

功能:可以根据不同的操作系统,选择不同的基准进行系统漏洞扫描。

适用于:Unix/LinuxMS Windows,并且这些系统上装了java 5或以上。

SRay

功能:系统漏洞扫描。

适用于:Unix/Linux系统。

Nessus

功能:检查系统存在有待加强的弱点,通常使用它作为安全基线扫描工具。

适用于:Unix/LinuxMS Windows

MBSA

功能:

适用于:

2、数据库扫描工具

NGSSQuirreL for Oracle

功能:为系统管理员、数据库管理员、专业安全人士提供了一个全面的安全分析组件。并且可以检查几千个可能存在的安全威胁、补丁状况、对象和权限信息、登陆和密码机制、存储过程以及启动过程。NGSSQuirrel提供强大的密码审计功能,包括字典和暴力破解模式。

适用于:Oracle 数据库扫描。

3、端口扫描工具

ScanPor

一个小巧的网络端口扫描工具,并且是绿色版不用安装即可使用

NMap

NMap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。

4WEB应用扫描工具

AppScan

作为应用的安全性测试工具,该工具必须了解。这款工具能扫描出应用中的各种SQL注入漏洞,XSS漏洞以及其它的一些安全性漏洞,并给出漏洞的使用示例,以及详细的解决建议和方法。笔者原来的公司具有省级专业评测的资质,安全工具也主要以AppScan为主。经典版本为AppScan8.0,但建议学习使用最新的版本。

5、抓包工具

Wireshark

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

6SQL注入工具

Pangolin

Pangolin是一款帮助渗透测试人员进行SQL注入(SQL Injeciton)测试的安全工具。Pangolin与JSky(Web应用安全漏洞扫描器、Web应用安全评估工具)都是NOSEC公司的产品。Pangolin具备友好的图形界面以及支持测试几乎所有数据库(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite)。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。Pangolin是目前国内使用率最高的SQL注入测试的安全软件

结束语

软件安全性测试在国内仍然还比较薄弱,需要各方的支持才能走的更远。也希望更多的骇客从一个破坏者转入到真正的黑客,让整个网络更加安全。

上一页12下一页

喜欢 | 4 不喜欢 | 0