Web安全测试指南--信息泄露

今天药忘吃喽~ 2021-10-24 04:24 383阅读 0赞

#### 5.4.1、源代码和注释： ####

<table style="width:402.7pt;border-collapse:collapse;"> 
 <tbody> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:1pt solid;border-right:1pt solid;"> 编号 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:1pt solid;border-right:1pt solid;"> Web_InfoLeak_01 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 用例名称 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 源代码和注释检查测试 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 用例描述 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 在浏览器中检查目标系统返回的页面是否存在敏感信息。 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 严重级别 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 中 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 前置条件 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 1、&nbsp; 目标web应用可访问，业务正常运行。 2、&nbsp; 已明确定义出敏感数据范围（比如口令、邮件和IP等）。 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 执行步骤 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 
 <div style="border-bottom:medium none;border-left:medium none;border-top:#000000 1pt solid;border-right:medium none;"> 
 1、&nbsp; 使用正确账户名和密码登录目标系统。 
 2、&nbsp; 访问待测试页面。 
 3、&nbsp; 在页面上点击右键，选择“查看源文件”。 
 4、&nbsp; 仔细检查源文件的源码和注释是否存在定义范围的敏感数据，比如： 
 </div> &lt;!-- the DB administrator password: f@keP@a$$w0rD --&gt; </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 预期结果 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 源文件中没有发现敏感数据。 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 测试结果 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> &nbsp; </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 备注 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 本用例亦可以使用人工结合自动化的方式减少工作量，即先定义敏感数据范围，然后使用http代理或者爬虫在http响应中匹配敏感数据。比如： l&nbsp; 可以在http响应中使用正则匹配邮件、IP等敏感数据。 l&nbsp; 可以搜集一组常用的关键字，比如：password，或者开发人员常用的密码（可以向开发人员获取），并在http响应中进行匹配。 但人工审计有时候有时候会有意外发现，可根据实际需求执行。 </td> 
 </tr> 
 </tbody> 
</table>

#### 5.4.2、日志审计： ####

<table style="width:402.7pt;border-collapse:collapse;"> 
 <tbody> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:1pt solid;border-right:1pt solid;"> 编号 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:1pt solid;border-right:1pt solid;"> Web_InfoLeak_02 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 用例名称 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 日志审计测试 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 用例描述 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 审计日志是否记录敏感数据。 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 严重级别 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 中 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 前置条件 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 1、&nbsp; 目标web应用可访问，业务正常运行。 2、&nbsp; 目标系统存在日志系统。 3、&nbsp; 拥有访问日志的权限。 4、&nbsp; 已明确定义出敏感数据范围（比如口令、短信验证码和session id等）。 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 执行步骤 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 
 <div style="border-bottom:medium none;border-left:medium none;border-top:#000000 1pt solid;border-right:medium none;"> 
 1、&nbsp; 获取web服务器或各种应用日志。 
 2、&nbsp; 打开search and replace，在“路径”选项中定位存放日志的目录。 
 3、&nbsp; 在“搜索”栏中输入定义好的敏感数据关键字，比如：password、开发常用的密码等等。 
 4、&nbsp; 检查搜索出来的结果是否存在敏感数据（比如：口令，session id等）。 
 5、&nbsp; 使用文本编辑软件（比如：notepad）分别打开各个日志文件，并仔细检查是否存在敏感数据。 
 </div> </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 预期结果 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 日志中没有发现敏感数据。 </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 测试结果 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> &nbsp; </td> 
 </tr> 
 <tr> 
 <td style="border-bottom:1pt solid;border-left:1pt solid;width:61.8pt;border-top:medium none;border-right:1pt solid;"> 备注 </td> 
 <td style="border-bottom:1pt solid;border-left:medium none;width:340.9pt;border-top:medium none;border-right:1pt solid;"> 步骤3同样可以使用程序自动匹配。但search and replace有更加直观的上下文进行误报排查，并且人工审计往往有意外发现，建议使用此方式。 </td> 
 </tr> 
 </tbody> 
</table>

转载于:https://www.cnblogs.com/fishou/p/4207525.html