zoukankan      html  css  js  c++  java
  • Web安全测试指南--信息泄露

    5.4.1、源代码和注释:

    编号

    Web_InfoLeak_01

    用例名称

    源代码和注释检查测试

    用例描述

    在浏览器中检查目标系统返回的页面是否存在敏感信息。

    严重级别

    前置条件

    1、  目标web应用可访问,业务正常运行。

    2、  已明确定义出敏感数据范围(比如口令、邮件和IP等)。

    执行步骤

    1、  使用正确账户名和密码登录目标系统。

    2、  访问待测试页面。

    3、  在页面上点击右键,选择“查看源文件”。

    4、  仔细检查源文件的源码和注释是否存在定义范围的敏感数据,比如:

    <!-- the DB administrator password: f@keP@a$$w0rD -->

    预期结果

    源文件中没有发现敏感数据。

    测试结果

     

    备注

    本用例亦可以使用人工结合自动化的方式减少工作量,即先定义敏感数据范围,然后使用http代理或者爬虫在http响应中匹配敏感数据。比如:

    l  可以在http响应中使用正则匹配邮件、IP等敏感数据。

    l  可以搜集一组常用的关键字,比如:password,或者开发人员常用的密码(可以向开发人员获取),并在http响应中进行匹配。

    但人工审计有时候有时候会有意外发现,可根据实际需求执行。

    5.4.2、日志审计:

    编号

    Web_InfoLeak_02

    用例名称

    日志审计测试

    用例描述

    审计日志是否记录敏感数据。

    严重级别

    前置条件

    1、  目标web应用可访问,业务正常运行。

    2、  目标系统存在日志系统。

    3、  拥有访问日志的权限。

    4、  已明确定义出敏感数据范围(比如口令、短信验证码和session id等)。

    执行步骤

    1、  获取web服务器或各种应用日志。

    2、  打开search and replace,在“路径”选项中定位存放日志的目录。

    3、  在“搜索”栏中输入定义好的敏感数据关键字,比如:password、开发常用的密码等等。

    4、  检查搜索出来的结果是否存在敏感数据(比如:口令,session id等)。

    5、  使用文本编辑软件(比如:notepad)分别打开各个日志文件,并仔细检查是否存在敏感数据。

    预期结果

    日志中没有发现敏感数据。

    测试结果

     

    备注

    步骤3同样可以使用程序自动匹配。但search and replace有更加直观的上下文进行误报排查,并且人工审计往往有意外发现,建议使用此方式。

  • 相关阅读:
    2018北京网络赛 G The Mole /// 分块暴力 点线距离
    POJ 3525 /// 半平面交 模板
    买不到的数目 /// 结论公式 oj26316
    Number Sequence /// oj21456
    Round Numbers /// 组合计数 oj21455
    POJ 1265 /// 皮克定理+多边形边上整点数+多边形面积
    fread 快速读入 (神奇挂!)
    HDU6395(分段+矩阵快速幂)
    如何得出保留某位小数,不进行四舍五入
    Codeforces1114 D. Flood Fill (DP)(整个区间染成同色)
  • 原文地址:https://www.cnblogs.com/fishou/p/4207525.html
Copyright © 2011-2022 走看看