手工安全测试.docx

由 ，- f … G安全测试可以先参考又档：{+} http://Security.alibaba-inccom/twiki/bin/view/Security;AliCnTestCheckList+XSS为什么要手动测XSS?正常情况下XSS漏洞基本可以采用Hatrix覆盖业务流程来进行扫描，但Matrix覆盖不到的场景就需要进行必要的手动测试手动XSS测试的范围识别1. 主要针对存储型的XSS漏洞，即提交的数据不在立即返回的页面中展现，这时需要考虑进行手XSS检查；比如新增一条Message，而打开的 Message验证XSS时，需要知道对应MessageID，因为MeesageID是动态生成的，所以Hatrix是无法获取对应数据进行自动验证2. 特殊数据格式提交当请求的数据不是常见3ET或POSTkey=value的格式时需要手动进行测试，比如\llin项目中所有请求均是将数据封装为 json格式提交手动XSS测试的方法手动XSS的测试数据可以采用以下方法进行验证输入数据(''!"=&{()})验证输出数据是否进行了Html转义(''!"=& );更多手动测试的用例可以参考：{+}"' http://ha.ckers.org/xss.html+CSRF为什么要手动测试CSRFHatrix中集成了检查了CSRF的功能，但是这只是检查=OST请求中是否包含了CSRF_TOKEN，但是CSRF_TOKEN是否生效，Hatrix工具无 法检查，所以重要的业务场景需要进行手动的:SRF漏洞检查。

手动CSRF检查的范围评估1. 确保项目的技术方案中是否默认是强制进彳CSRF检查的，如果技术方案已经是强制检查就不需要进行手动的:SRF检查国际站目前只有Hermes 反馈是强制检查了，其他都需要评估范围2. 不需要考虑手动CSRF检测范围评估的是：没有登录状态下的操作比如搜索、Login操作；需要输入验证码或密码的功能，比如修改邮箱地址的 操作等3. 对于敏感数据的增删改操作，都需要进行手动白CSRF检测敏感数据的定义：数据的变化会对用户的正常业务产生影响比如账户信息的修改删 除；用户Message的发送、更新、删除；支付下单支付等操作这些操作的数据修改会对用户的业务功能产生影响，这样就需要进行手5RF 检查手动CSRF检查的方法1. 判断该增删改操作提交的数据中是否包含srf_token可以利用Firefox的firebugs工具检查，比如国际站就判断表单中是否包含ame为_csrf_token_勺数据：id="Gro-up ListFo-rmir method = Irpost" actions如果不存在则认为存在CSRF漏洞。

1. 如果第一步中存在csrf_token,再利用firebugs删除csrf_token，比如删除这个，然后正常提交数据判断操作是否成功，如果删除csrf_token后操作依然成功，则说明存在:SRF漏洞，反之则说明不存在CSRF漏洞AccessControl为什么要手动测试AccessControl漏洞因为漏洞和业务逻辑紧密结合，所以目前没有理想的自动化工具进行ccessContro l漏洞的检查说需要进行手动的检查判断此类漏洞AccessControl漏洞范围评估1. 水平权限检测项目中有部分数据和操作时用户私有的，其他账户是无法访问或是操作，此时需要对这类功能进行水平权限检测2. 垂直权限检查项目中有部分数据和操作是权限等级划分，低等级的账户的无法访问或操作高等级权限的数据，此时需要对这类功能进行垂直权限 检查手动检查方法AccessContro l漏洞的检查主要通过以下两种方式：1. 修改数据的标示数据比如删除Message功能，删除操作提交的数据中包挪essageID，测试时可以修改MessageID为其他用户用的MessageID，然后提交判断操作是否成功，如果成功则说明存在ccessControl漏洞。

2. 通过更换账户访问数据或操作判断是否存在AccessContro l漏洞详细 step by step . http・//wikialifiD 业务中所有的上传功能都需要进行手动检查文件上传漏洞手动检查方法1. 对于上传图片功能，只需测试这两张图片是否能成功上传，如果能正常上传，则说明有上传漏洞图片地址是：http://securityalibaba- 0%E7%BB%88%E6%9E%81%E7%89%881.jpg2. 对于其他文件上传功能，主要验证是否上传其他需求中定义以外类型的文件此外如果需求中定义能上传m、txt、exe、sh等文件时也是属于 存在上传安全漏洞的URL RedirectURL Redirect漏洞能导致钓鱼、挂马等多种危害URL Redirect手动测试的范围评估1. 项目中的服务器302跳转地址是由用户提交的，或是根据用户提交数据拼接生成的2. 页面中存在js的浏览器跳转URL Redirect手动检测的方法1. 修改用户提交的跳转目的地址为非alibaba域名的地址，检查能成功跳转，如果可以跳转，则说明存UURLRedirect漏洞比如Login环境登录 成功可以调到用户提交的参数return_ur l的地址：https://login,alibabacom/login.htm?from=myalibaba&return_url = "测试时可以将 return_url改为 ，判断成功登陆后是否能跳转到ibaidu，如果可以则说明存在URL Redirect漏洞。

需要说明的用户提交的这个url 地址除了在Get的parameters中，也可能在Post中数据中，检查的方法也相同 『一一 S K 以 2. 部分场景下可能需要浏览器的跳转，比如页面中有这年：function redirect(url{ window.location="http://www "url"com”； }如果 url是用户可以定义的，比如是ocation.href的中url参数中获取：http://www.alibabacom?url=baidu 这样打开这个页面就存在 URLRedirect 漏洞Flash项目中可能使用部分flash，但是flash存在安全隐患Flash检查的范围评估1. 项目中存在alibaba域名下的flash，或是应用下的swf文件手动检查方法1. 将 flash 或swf文件提交到flash 检查平台：http://flashscanalibaba-~1。