安全測試應該是測試中非常重要的一部分,但他常常最容易被忽視掉。
盡管國內經常出現各種安全事件,但沒有真正的引起人們的注意。不管是開發還是測試都不太關注產品的安全。當然,這也不能怪我們苦B的“民工兄弟”。因為公司的所給我們的時間與精力只要求我們對產品的功能的實現以及保證功能的正常運行。一方面出于僥幸心理。誰沒事會攻擊我?
關于安全測試方面的資料也很少,很多人所知道的就是一本書,一個工具。
一本書值《web安全測試》,這應該是安全測試領域維數不多又被大家熟知的安全測試書,我曾看過前面幾個章節,唉,鄙視一下自己,做事總喜歡虎頭蛇尾。寫得非常好,介紹了許多安全方面的工具和知識。我覺得就算你不去做專業的安全開發\測試人員。起碼可以開闊你的視野,使你在做開發或測試時能夠考慮到產品安全方面的設計。防患于未然總是好的,如果你想成為一個優秀的人。
一個工具,其實本文也只是想介紹一下,這個工具----AappScan,IBM的這個web安全掃描工具被許多人熟知,相關資料也很多,因為我也摸了摸它的皮毛,所以也來人說兩句,呵呵!說起sappScan,對它也頗有些感情,因為,上一份工作的時候,我摸過于測試相關的許多工具,AappScan是其它一個,當時就覺得這工具這么強大,而且還這么傻瓜!!^_^! 于是,后面在面試的簡歷上寫了這個工具,應聘現在的這家公司,幾輪面試下來都問到過這個工具,因為現在這家公司一直在使用這個工具做安全方面的掃描。我想能來這家公司和我熟悉AappScan應該有一點點的關系吧!呵呵
AappScan下載與安裝
IBM官方下載;http://download2.boulder.ibm.com ... 2-AppScan_Setup.exe
本連接為7.8 簡體中文版本的
破解補丁;http://www.vdisk.cn/down/index/4760606A4753
破解補丁中有相應的注冊機與破解步驟,生成注冊碼做一下替換就OK了,這里不細說。
AppScan其實是一個產品家族,包括眾多的應用安全掃描產品,從開發階段的源代碼掃描的AppScan source edition,到針對WEB應用進行快速掃描的AppScan standard edition.以及進行安全管理和匯總整合的AppScan enterprise Edition等,我們經常說的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安裝在Windows操作系統上,可以對網站等WEB應用進行自動化的應用安全掃描和測試。
使用AppScan來進行掃描
我們按照PDCA的方法論來進行規劃和討論; 建議的AppScan使用步驟:PDCA: Plan,Do,check, Action and Analysis.
計劃階段:明確目的,進行策略性的選擇和任務分解。
1) 明確目的:選擇合適的掃描策略
2) 了解對象:首先進行探索,了解網站結構和規模
3) 確定策略:進行對應的配置
a) 按照目錄進行掃描任務的分解
b) 按照掃描策略進行掃描任務的分解
執行階段:一邊掃描一遍觀察
4) 進行掃描
5) 先爬后掃(繼續僅測試)
檢查階段(Check)
6) 檢查和調整配置
結果分析(Analysis)
7) 對比結果
8) 匯總結果(整合和過濾)
AppScan的工作原理
當我們單擊“掃描”下面的小三角,可以出現如下的三個選型“繼續完全掃描”,“繼續僅探索”,“繼續僅測試“,有木有?什么意思? 理解了這個地方,就理解了AppScan的工作原理,我們慢慢展開:
還沒有正式開始,所以先不管“繼續“,直接來討論’完全掃描”,“僅探索”,“僅測試”三個名詞:
AppScan是對網站等WEB應用進行安全攻擊,通過真刀真槍的攻擊,來檢查網站是否存在安全漏洞;既然是攻擊,肯定要有明確的攻擊對象吧,比如北約現在的對象就是卡扎菲上校還有他的軍隊。對網站來說,一個網站存在的頁面,可能成千上萬。每個頁面也都可能存在多個字段(參數),比如一個登陸界面,至少要輸入用戶名和密碼吧,這就是一個頁面存在兩個字段,你提交了用戶名密碼等登陸信息,網站總要有地方接受并且檢查是否正確吧,這就可能存在一個新的檢查頁面。這里的每個頁面的每個參數都可能存在安全漏洞,所有都是被攻擊對象,都需要來檢查。
這就存在一個問題,你領命來檢查一個網站的安全性,這個網站有多少個頁面,有多少個參數,頁面之間如何跳轉,你可能很不明確,如何知道這些信息? 看起來很復雜,盤根錯節;那就更需要找到那個線索,提綱挈領; 那就想一想,訪問一個網站的時候,我們需要知道的最重要的信息是哪個?網站主頁地址吧? 從網站地址開始,很多其他頻道,其他頁面都可以鏈接過去,對不對,那么可不可以有種技術,告訴了它網站的入口地址,然后它“順藤摸瓜”,找出其他的網頁和頁面參數? OK,這就是”爬蟲” 技術,具體說,是”網站爬蟲“,其利用了網頁的請求都是用http協議發送的,發送和返回的內容都是統一的語言HTML,那么對HTML語言進行分析,找到里面的參數和鏈接,紀錄并繼續發送之,最終,找到了這個網站的眾多的頁面和目錄。這個能力AppScan就提供了,這里的術語叫“探索”,explorer,就是去發現,去分析,了解未知的,記錄。
在使用AppScan的時候,要配置的第一個就是要檢查的網站的地址,配置了以后,AppScan就會利用“探索”技術去發現這個網站存在多少個目錄,多少個頁面,頁面中有哪些參數等,簡單說,了解了你的網站的結構。
“探索”了解了,測試的目標和范圍就大致確定了,然后呢,利用“軍火庫”,發送導彈,進行安全攻擊,這個過程就是“測試”;針對發現的每個頁面的每個參數,進行安全檢查,檢查的彈藥就來自AppScan的掃描規則庫,其類似殺毒軟件的病毒庫,具體可以檢查的安全攻擊類型都在里面做好了,我們去使用即可。
那么什么是“完全測試呢”,完全測試就是把上面的兩個步驟整合起來,“探索”+ “測試”;在安全測試過程中,可以先只進行探索,不進行測試,目的是了解被測的網站結構,評估范圍; 然后選擇“繼續僅測試”,只對前面探索過的頁面進行測試,不對新發現的頁面進行測試。“完全測試”就是把兩個步驟結合在一起,一邊探索,一邊測試。
上圖更容易理解:
步驟1:探索(爬行,爬網)
步驟2:真對找到的頁面進行測試,生成安全攻擊
AppScan掃描大型網站
經常有客戶抱怨,說AppScan無法掃描大型的網站,或者是掃描接近完成時候無法保存,甚至保存后的結果文件下次無法打開?;同時大家又都很奇怪,作為一款業界出名的工具,如此的脆弱?是配置使用不當還是自己不太了解呢?我們今天就一起來討論下AppScan掃描大型網站會遇到的問題以及應對。
什么叫大型網站,顧名思義,網站規模大,具體說是頁面很多,內容很全。比如www.sina.com.cn,比如http://music.10086.cn/,都包括上萬個頁面。而且除了這個,可能還有一個特點---頁面參數多,即要填寫的地方多,和用戶的交互多;比如一個網站如果都是靜態頁面(.html,.jpg等),沒有讓用戶輸入的地方,那么可以利用,可以作為攻擊點的地方也就不多。如果頁面到處都是有輸入,有查詢,要求用戶來參與的,你輸入的越多,可能泄露的信息也越多,可能被別人利用的攻擊點也就越多,所以和頁面參數也是有關系的。AppScan聲稱測試用例的時候,也是根據每個參數來產生的,簡單說,如果一個參數,對應了200個安全攻擊測試用例,那么一個登陸界面至少就對應400個了,為什么?登陸界面至少有用戶名和密碼兩個字段吧? 每個字段200個攻擊用例。
這個簡單吧,還可以更復雜:如果遇到下面的兩個地址,那要掃描多少次呢?
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=1
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=2
上面的兩個地址有類似的,“?”號以前的URL地址完全一樣,”?”號后面帶的參數不同,這種可以認為是重復頁面,那么對于重復頁面,是否要重復測試呢?
這取決于“冗余路徑設置”,默認的是最多測試5次;即,這種類型URL出現的前5次,那么就是要測試1000個攻擊用例了。
如果再繼續修改下:遇到下面的URL呢
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=1&Item=open
http://www.cnblogs.com/fnng/focus/satisfy/file.jsp?id=2&Item=close
每個URL里面都有2個參數,測試的次數就更多了。想象下,如果這個網頁里面的參數如果是10個,或者更多的呢?比如很多網站提交注冊信息的時候,要填寫的內容足夠多吧?
要進行的安全測試用例也就隨之不斷增加…
這是網站規模的影響,還有一個問題,就出在“每個參數,發送200個安全測試用例”這個假設上。這個假設的前提來源于哪里? 來源于我們選擇的掃描規則庫。即你關心那些安全威脅,這個需要在測試策略里面選擇。同樣來參照殺毒軟件,你會用殺毒軟件來查找一些專用的病毒嗎,比如CIH,比如木馬;應用安全掃描也是一樣的道理,如果有明確的安全指標或者安全規則范圍,那么就選擇之。這些可能來源于企業的規范,來源于政府的法律法規。就要根據你的理解,在這里選擇。
很多時候,我們也很難在最開始的階段,就把掃描規范制定下來,按照項目經理們的口頭禪“漸進明細”,“滾動式規劃”,在實踐中,更多時候也是摸著石頭過河,選擇了一個掃描策略,然后根據結果分析,看是否需要調整,不斷優化。比如選擇默認的“缺省值’掃描策略,對網站進行掃描,發現其”敏感信息“里面會去檢查頁面上是否含有Email地址,是否含有信用卡號碼等,如果我們覺得這些信息,顯示在頁面上是正常的業務需要, 我們就可以取消掉這些規則,所以掃描規則也很大程度上影響著我們的掃描效率。