2. 程式人生 > >Web框架下安全漏洞的測試反思

Web框架下安全漏洞的測試反思

阿新 發佈:2018-11-11

此文已由作者王婷英授權網易雲社群釋出。

歡迎訪問網易雲社群,瞭解更多網易技術產品運營經驗。


在平時的測試中,一般情況下,我們都是比較關注功能業務測試,以及對應的介面測試,很少去關注對應的業務設計上存在的安全漏洞測試分析。隨著行業對安全的要求越來越高,同時我們電商是經常在網路上發生交易操作的網站,更是要關注安全測試相關的測試場景的考慮。

之所以來編寫這篇web的裡的安全測試的文章,主要是在平時的測試過程中,發現了我們的考拉網站上存在一些安全性的漏洞。一部分的安全漏洞不會公司帶來資損,但是還有一部分的安全性漏洞會對公司造成一定的資損,這樣子的安全性的漏洞更應該被重視,那麼安全性的測試也更應該被重視起來。

簡單羅列目前發現的安全性問題:

  • 使用者購買會員的金額可以通過修改請求裡的金額,進行購買--------根本原因:後端的程式碼沒有將拿到的使用者的金額和實際的金額進行對比,再去發出下一步的支付流程。

  • 對訂單進行評論的獲取考拉豆的時候,可以通過變更URL上的orderID來進行變更,從而將別人的訂單進行評價,而獲取別人的考拉豆---根本原因:後端沒有對訂單的所屬進行判斷,只是核對該訂單是否存在

下面詳細的說明幾種常見的漏洞:


1、通過修改請求裡的Response引數

   

實名認證這裡的請求:https://m.kaola.com/member/activity/valid/nameAuth.html,只需將請求裡Response裡的code修改為:unknown200,以及將success的值修改為true,然後將這個請求發出去之後,我們的刷子使用者就可以成功的繞過這個圍牆了,去購買參加我們的試用會員了,從而可以享受我們的7天的會員96折的價格

 

2、修改URL上的引數,操作不屬於自己的訂單資訊(越權)

這個是通過修改URL上的訂單引數,可以檢視別人的訂單資訊,以及物流狀況,以及對訂單進行申請售後等操作
這個也是對訂單進行變更,對別人的訂單進行評價,來收穫別人的訂單的返考拉豆

通過修改URL連結上的引數來進行一些非對應賬號的資訊的檢視和操作,從安全的角度來看是沒有進行隱私保護操作。甚至會帶來一些客戶投訴,更加嚴重的是,使用者對我們的產品失去信任,不再使用。這些不應該是是開發人員去思考的,更應該是QA在平時的需求測試中進行關注的地方。

有人說,修改訂單號,怎麼可能,別人怎麼知道我們的訂單號生成的規律。其實我們認真的分析我們的訂單號,還是可以找到一定的規律

如:gid=201712102237GORDER36432705---在GORDER前面的是我們的訂單生成的年月日,後面是8位流水號,其實真的要去操作,還是在一定程度上可以修改URL的引數。

   

3、本應該是post請求,硬是設計成get請求

   

    

為加強QA對功能業務重視的情況下,同時也要在平時的業務測試的過程中重視安全性相關方面的測試,為了更好的在測試過程中養成敏銳的觀察能力。首先web需要了解下,Web的相關節點,瀏覽器、http請求、中介軟體、資料庫等之間的關係。


在資料的傳輸中,我們可以把 web 簡單的分為幾個層次:

  1. 瀏覽器:瀏覽器即客戶端,提供客戶端和伺服器端的資料資訊互動。

  2. http:客戶端與web伺服器進行互動時就存在web請求,這種請求都基於統一的應用層協議——HTTP協議來互動資料。http屬於輕量級協議,無需連線,提供了對通訊錯誤的容錯性(常見的3次握手)。

  3. 中介軟體:中介軟體是位於平臺(硬體和作業系統)和應用之間的通用服務

  4. Server容器:Server容器負責解析使用者請求和指令碼語言,類似的有Tomcat,JBoss等。我們訪問網頁看到是web容器處理後的內容。

  5. 資料庫:動態頁面可提供互動式的資訊查詢服務,主要依賴於web資料庫的實現,對外提供包含表單的Web頁面作為訪問介面,查詢結果也以包含資料列表的Web頁面形式返回給使用者。

那麼針對上面的一些問題,我們應該怎麼去避免呢?如上面的越權的資訊,實際上是沒有對當前的cookie進行驗證,以致可以通過修改URL上的引數就能操作別人的訂單資訊。

對敏感資料存在的介面和頁面做cookie,ssid,token或者其它驗證,如下圖所示:

 
其實,還有很多安全方面的測試,如cookie裡不應該暴露比較敏感的資訊等等。


結束語:

這些安全的漏洞的根本的來源是開發設計邏輯存在缺陷,於是給我們的黑客存在可利用的空間。在平常的業務測試中,我們不可能要求開發設計邏輯能面面俱到,也不可能發現所有的邏輯缺陷,這些缺陷給我們帶來的傷害其實是巨大的。如使用者的驗證碼被爆破、會員手機號被遍歷、抽獎次數本地被修改、跳過手機簡訊驗證修改他人密碼、登陸等介面返回使用者密碼等資訊、簽到邏輯不嚴,導致薅羊毛等等問題,都會給我們的產品打上一個不好的標籤。因此,功能QA不僅子在乎開發的需求是否滿足互動稿的同時,而且也要考慮下各種安全的場景測試,在一定程度上規避安全漏洞被不法使用者使用,造成不堪後果的損失。

       

網易雲免費體驗館,0成本體驗20+款雲產品! 

更多網易技術、產品、運營經驗分享請點選

相關文章:
【推薦】 Docker容器的原理與實踐(下)

相關推薦

Web框架安全漏洞測試反思

此文已由作者王婷英授權網易雲社群釋出。 歡迎訪問網易雲社群,瞭解更多網易技術產品運營經驗。 在平時的測試中,一般情況下,我們都是比較關注功能業務測試,以及對應的介面測試,很少去關注對應的業務設計上存在的安全漏洞測試分析。隨著行業對安全的要求越來越高,同時我們電商是經常在網路上發生交易操作的網站,更是要關注

ThinkPHP開發框架安全漏洞,超過4.5萬家中文網站受影響

據外媒ZDNet報道,近期有超過4.5萬家中文網站被發現容易遭到來自黑客的攻擊,而導致這一安全風險出現的根源竟然是一個ThinkPHP漏洞。 報道稱,有多家網路安全公司在近期都發現了針對執行著基於ThinkPHP的Web應用程式的伺服器的掃描活動。ThinkPHP是一個快速、相容而且簡單的輕量級

IntellIj 在SSH框架做Junit測試單元

Junit單元測試 專案中引入junit元件包,Junit必須使用Spring框架附帶的版本,自行從Junit官方網站下載的junit不一定可以使用。 父類定義為AbstractJUnit4SpringContextTests 幾個Annonation @

web安全/滲透測試--30--連結或框架注入

1、漏洞描述: 一個框架注入攻擊是一個所有基於GUI的瀏覽器攻擊,它包括任何程式碼如JavaScript、VBScript(ActivX)、Flash、AJAX(html+js+py)。程式碼被注入是由於指令碼沒有對它們正確驗證,攻擊者有可能注入含有惡意內容的

web安全/滲透測試--35--TLS1/SSLv3重協商漏洞

1、漏洞描述: SSL/TLS是位於一種可靠地網路層協議TCP協議之上的一個協議,該協議是為了在客戶端和伺服器之間生成一個安全的連線,這種連線是私密的、可靠的並且通訊雙方可以互相驗證雙方的身份。所以SSL/TLS協議應該具有機密性、完整性和確定性。而對於重新協商

web安全/滲透測試--42--檔案上傳漏洞

1、漏洞描述: 檔案上傳漏洞,直面意思可以利用WEB上傳一些特定的檔案。一般情況下檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行伺服器端命令的能力。檔案上傳本身是web中最為常見的一種功能需求,關鍵是檔案上傳之後伺服器端的處理、

web安全/滲透測試--46--POODLE資訊洩露漏洞

1、漏洞描述: 由於SSL 3.0使用的CBC塊加密的實現存在漏洞,攻擊者可以成功破解SSL連線的加密資訊,比如獲取使用者cookie資料。這種攻擊被稱為POODL攻擊(Padding Oracle On Downgraded Legacy Encryption

基於Tomcat 的WEB Project存在的安全漏洞總結

能力 .org target prot 結果 dea 漏洞 ring 解決 1 檢查工具:Acunetix Web Vulnerability Scanner V9破解版 2 檢查漏洞說明結果顯示: 2.1 HTML Form Without CSRF Protecti

[筆記]《白帽子講Web安全》- Web框架安全

產生 response pro 直接 返回 攻擊 指定 his 數據 一、MVC框架安全 從數據的流入來看,用戶提交的數據先後流經了View層、Controller、Model層,數據流出則反過來。在設計安全方案時,要牢牢把握住數據這個關鍵因素。

SpringBoot框架基於Junit的單元測試

項目 bject 必須 -s rsquo ember dde 用戶名 針對 前言 Junit是一個Java語言的單元測試框架,被開發者用於實施對應用程序的單元測試,加快程序編制速度,同時提高編碼的質量。是一個在發展,現在已經到junit5,在javaEE開發中與很多框架相

Web篇03】Spring框架,servlet響應的res在jsp頁面中顯示時,防止亂碼的操作

首先,在Spring軟體中,找到Web工程,src下的對應的servlet; 在servlet中獲取請求引數之後,給瀏覽器傳送響應之前; 需要鍵入一段程式碼即可,如下: response.setContentType("text/html;charset=UTF-8"); 括號內的

Web 安全漏洞之 OS 命令注入

什麼是 OS 命令注入 上週我們分享了一篇 《Web 安全漏洞之 SQL 注入》,其原理簡單來說就是因為 SQL 是一種結構化字串語言,攻擊者利用可以隨意構造語句的漏洞構造了開發者意料之外的語句。而今天要講的 OS 命令注入其實原理和 SQL 注入是類似的,只是場景不一樣而已。OS 注入攻擊是指程式提供了直

Web安全漏洞——sql注入

1.原理 注入攻擊的本質,是把使用者輸入的資料當成程式碼執行。兩個關鍵條件:一是使用者能夠控制輸入;二是原本程式要執行的程式碼,拼接了使用者輸入的資料。當攻擊者傳送的sql語句被sql直譯器執行,通過執行這些惡意語句欺騙資料庫執行,導致資料庫資訊洩露。 2.分類 按注入點

Web 安全漏洞之 XSS 攻擊

編者說:作為JS系工程師接觸最多的漏洞我想就是 XSS 漏洞了,然鵝並不是所有的同學對其都有一個清晰的認識。今天我們請來了@盧士傑 同學為我們分享他眼中的 XSS 漏洞攻擊,希望能幫助到大家。 什麼是 XSS 攻擊 XSS(Cross-Site Scripting)又稱跨站指令碼,XSS的重點不在於跨

常見Web安全漏洞

XSS攻擊 什麼是XSS攻擊手段 XSS攻擊使用Javascript指令碼注入進行攻擊 例如在提交表單後,展示到另一個頁面,可能會受到XSS指令碼注入,讀取本地cookie遠端傳送給黑客伺服器端。   <script>alert('sss')</script> &

web服務端安全---檔案上傳漏洞

1、簡述   檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行服務端命令的能力。這種攻擊方式是最直接和有效的,而且網際網路中我們經常會用到檔案上傳功能,它本身是沒有問題的,正常的業務需求,可是檔案上傳後伺服器如果不能安全有效的處理或解釋檔案,往往會造成嚴重的後果。 常見的安

web服務端安全---文件上傳漏洞

業務 舉例 不可 用戶 改變 一點 web容器 ash bsh 1、簡述   文件上傳漏洞是指用戶上傳了一個可執行的腳本文件,並通過此腳本文件獲得了執行服務端命令的能力。這種攻擊方式是最直接和有效的,而且互聯網中我們經常會用到文件上傳功能,它本身是沒有問題的,正常的業務需求

專案WEB-INFpage資源為jsp和html測試總結

WEB-INF是Java的WEB應用的安全目錄。所謂安全就是客戶端無法訪問,只有服務端可以訪問的目錄。如果想在頁面中直接訪問其中的檔案,必須通過web.xml檔案對要訪問的檔案進行相應對映(servlet-mapping)才能訪問。 WEB-INF介紹:https://baike.so.com/

1129 web和wap端發版後--部分頁面存在安全漏洞

提交 dep scripting .sql about yun 功能 lsp 攻擊 0181129 web版本部分頁面存在安全漏洞 1.SQL 註入例如在查詢功能,輸入分號 感嘆號 分號 豎杠 ‘ ! ; | 搜索時,響應結果不正確,應該與圖二的響應結果一致

【03.Web端XSS安全測試

XSS 全稱(Cross Site Scripting) 跨站指令碼攻擊, 是Web程式中最常見的漏洞。指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時,指令碼就會在使用者的瀏覽器上執行,從而達到攻擊者的目的. 比如獲取使用者