工具方式的敏感接口遍历
| 编号 | Web_01 |
|---|---|
| 测试用例名称 | 工具方式的敏感接口遍历 |
| 测试目的 | 网站目录查找是进行攻击的必备知识,只有知道了目录信息才能确定攻击的目标,进行目录查找是测试的首要阶段,一般扫描工具进行扫描前首先要进行目录查找。其次对于某些隐藏的管理接口(目录或文件),虽然没有对外有明显的链接,但是通过一系列有特定含义的枚举是可以访问的。 |
| 用例级别 | 二级 |
| 测试条件 | 1、Web业务运行正常 2、已知目标网站的域名或IP地址 3、测试用机上需安装JRE 4、测试用机上有DirBuster软件 |
| 执行步骤 | 1、双击运行DirBuster.jar 2、在host栏中填入目标IP地址或域名,在Port栏中输入服务器对应的端口;如果服务器只接受HTTPS请求,则需要选择Protocol为HTTPS  3、在file with list of dirs/files 栏后点击browse,选择破解的字典库为directory-list-2.3-small.txt 4、将File extension中填入正确的文件后缀,默认为php,如果为jsp页面,需要填入jsp 5、其他选项不变,点击右下角的start,启动目录查找  6、观察返回结果,可点击右下角的report,生成目录报告 |
| 预期结果 | 经过分析以后的结果中,业务系统不存在不需要对外开放的敏感接口,或者该接口进行了完善的权限控制。 |
| 备注 | 举一个测试不通过的例子: Type:File Found:/admin/adduser.jsp Response:200 |
| 测试结果 |
目录列表测试
| 编号 | Web_02 |
|---|---|
| 测试用例名称 | 目录列表测试 |
| 测试目的 | 目录列表能够造成信息泄漏,而且对于攻击者而言是非常容易进行的。所以在测试过程中,我们应当找出所有的目录列表漏洞。 |
| 用例级别 | 一级 |
| 测试条件 | 1、Web业务运行正常 2、已知目标网站的域名或IP地址 3、测试用机上需安装JRE 4、测试用机上有DirBuster软件 |
| 执行步骤 | 1、双击运行DirBuster-0.9.8.jar 2、在host栏中填入目标IP地址或域名,在Port栏中输入服务器对应的端口;如果服务器只接受HTTPS请求,则需要选择Protocol为HTTPS  3、在file with list of dirs/files 栏后点击browse,选择破解的字典库为directory-list-2.3-small.txt 4、去除Burte Force Files选项 5、其他选项不变,点击右下角的start,启动目录查找  6、依次右击Response值为200的行,在出现的菜单中点击Open In Browser<br  7、分析结果 |
| 预期结果 | 所有对目录的访问均不能打印出文件列表。 |
| 备注 | |
| 测试结果 |
文件归档测试
| 编号 | Web_03 |
|---|---|
| 测试用例名称 | 文件归档测试 |
| 测试目的 | 在网站管理员的维护过程中,很多情况下会对程序或者页面进行备份(可能是有意的或者是无意的,如ultraedit在修改后会生成文件名加bak后缀的文件)。攻击者通过直接访问这些备份的路径可以下载文件 |
| 用例级别 | 一级 |
| 测试条件 | 1、拥有运行Web服务器的操作系统帐号和口令 2、Web业务运行正常 |
| 执行步骤 | 1、登陆后台Web服务器的操作系统 2、以cd命令进入可以通过Web方式访问的目录(比如tomcat服务器的$home/webapps目录,jboss服务器的/home/jboss/server/default/deploy目录) 3、用find命令,查找是否存在以下备份文件,如果存在则测试不通过。 ".bak" ".BAK" ".old" ".OLD" ".zip" ".ZIP" ".rar" ".tar" ".temp" ".save" "*.backup" |
| 预期结果 | 可以通过Web方式访问的目录,不存在开发过程(包括现场定制)中的产生的临时文件、备份文件等。 |
| 备注 | |
| 测试结果 |