Web安全测试漏洞场景

　　链接注入（便于跨站请求伪造）
　　测试类型：应用程序级别测试
　　威胁分类：内容电子欺骗
　　原因：未对用户输入正确执行危险字符清理
　　安全性风险：可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
　　可能会在Web服务器上上载、修改或删除Web页面、脚本和文件
　　技术描述：该软件使用受外部影响的输入来构造命令、数据结构或记录的全部或一部分，但未能对可能修改其解析或解释方式的元素进行无害化处理。
　　“链接注入”是通过在某个站点中嵌入外部站点的URL，或者在易受攻击的站点中嵌入脚本的URL，从而修改该站点的内容。在易受攻击的站点中嵌入URL后，攻击者能够将其作为发起针对其他站点（以及针对这个易受攻击的站点本身）的攻击的平台。
　　其中一些可能的攻击需要用户在攻击期间登录站点。通过从易受攻击的站点本身发起这些攻击，攻击者成功的可能性更高，因为用户更倾向于登录。
　　“链接注入”脆弱性是未对用户输入进行充分清理所导致的结果，该输入以后会在站点响应中返回给用户。这样一来，攻击者能够将危险字符注入响应中，从而有可能嵌入URL，以及做出其他可能的内容修改。
　　以下是“链接注入”的示例（我们假设站点“www.vulnerable.com”有一个名为“name”的参数，用于问候用户）。
　　下列请求：HTTP://www.vulnerable.com/greet.asp?name=JohnSmith
　　会生成下列响应：
　　<HTML>
　　<BODY>
　　Hello，JohnSmith.
　　</BODY>
　　</HTML>
　　然而，恶意的用户可以发送下列请求：
　　HTTP://www.vulnerable.com/greet.asp?name=<IMGSRC="http://www.ANY-SITE.com/ANY-SCRIPT.asp">
　　这会返回下列响应：
　　<HTML>
　　<BODY>
　　Hello，<IMGSRC="http://www.ANY-SITE.com/ANY-SCRIPT.asp">.
　　</BODY>
　　</HTML>
　　如以上示例所示，攻击者有可能导致用户浏览器向攻击者企图攻击的几乎任何站点发出自动请求。因此，“链接注入”脆弱性可用于发起几种类型的攻击：
　　[-]跨站点请求伪造
　　[-]跨站点脚本编制
　　[-]网络钓鱼
　　通过框架钓鱼
　　测试类型：应用程序级别测试
　　威胁分类：内容电子欺骗
　　原因：未对用户输入正确执行危险字符清理
　　安全性风险：可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　技术描述：网络钓鱼是一种社会工程技巧，其中攻击者伪装成受害者可能会与其进行业务往来的合法实体，以便提示用户透露某些机密信息（往往是认证凭证），而攻击者以后可以利用这些信息。网络钓鱼在本质上是一种信息收集形式，或者说是对信息的“渔猎”。
　　攻击者有可能注入含有恶意内容的frame或iframe标记。如果用户不够谨慎，有可能浏览该标记，却意识不到自己会离开原始站点而进入恶意的站点。之后，攻击者便可以诱导用户再次登录，然后获取其登录凭证。由于伪造的站点嵌入在原始站点中，这样攻击者的网络钓鱼企图披上了更容易让人轻信的外衣。
　　Missing"Content-Security-Policy"header
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：Web应用程序编程或配置不安全
　　安全性风险：可能会收集有关Web应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置
　　可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　Missing"X-Content-Type-Options"header
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：Web应用程序编程或配置不安全
　　安全性风险：可能会收集有关Web应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置
　　可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　Missing"X-XSS-Protection"header
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：Web应用程序编程或配置不安全
　　安全性风险：可能会收集有关Web应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置
　　可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　SSL 请求中的查询参数
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：查询参数通过 SSL 进行了传递，并且可能包含敏感信息
　　技术描述：在应用程序测试期间，检测到通过 SSL 发送的请求包含在 HTTP 请求的 Query 部分中传输的参数。发送请求时，可以使用浏览器的历史记录来显现 URL，其中包含查询参数名称和值。
　　由于加密请求的敏感性，建议您尽可能使用 HTTP POST（不带 URL 字符串中的参数），以便避免向其他人泄露 URL和参数值。
　　查询中接受的主体参数
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：Web 应用程序编程或配置不安全
　　安全性风险：可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置
　　可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　技术描述：GET 请求设计的目的在于查询服务器，而 POST 请求用于提交数据。但是，除了技术目的之外，攻击查询参数比攻击主体参数更容易，因为向原始站点发送链接或在博客或注释中发布链接更容易，而且得到的结果比另一种方法更好，为了攻击带有主体参数的请求，攻击者需要创建其中包含表单的页面，当受害者访问表单时会提交表单。说服受害者访问他不了解的页面比让受害者访问原始站点要难很多。因此，不建议支持可到达查询字符串的主体参数。
　　发现可高速缓存的 SSL 页面
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：浏览器可能已将敏感信息高速缓存
　　安全性风险：可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置
　　技术描述：缺省情况下，大部分 Web 浏览器都配置成会在使用期间高速缓存用户的页面。 这表示也会高速缓存 SSL 页面。
　　不建议让 Web 浏览器保存任何 SSL 信息，因为当有漏洞存在时，可能会危及这个信息。
　　发现可高速缓存的登录页面
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：浏览器可能已将敏感信息高速缓存
　　安全性风险：可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
　　技术描述：缺省情况下，大部分 Web 浏览器都配置成会在使用期间高速缓存用户的页面。 这表示也会高速缓存登录页面。
　　不建议让 Web 浏览器保存任何登录信息，因为当有漏洞存在时，可能会危及这个信息。
　　发现压缩目录
　　测试类型：基础结构测试
　　威胁分类：信息泄露
　　原因：Web 应用程序编程或配置不安全
　　安全性风险：可能会检索服务器端脚本的源代码，这可能会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息
　　技术描述：AppScan 找到了可能含有整个目录内容的压缩文件。这是通过安装压缩文件扩展名来请求目录名称而进行的，例如：GET /DIR1.zip HTTP/1.0 或 GET /DIR2.gz HTTP/1.0
　　这个文件可能含有目录的新或过期内容。不论任何情况，恶意的用户都有可能通过猜测文件名，而得以访问源代码和不具特权的文件。
　　利用的样本：
　　http://[SERVER]/[DIR].zip
　　临时文件下载
　　测试类型：基础结构测试
　　威胁分类：可预测资源位置
　　原因：在生产环境中留下临时文件
　　安全性风险：可能会下载临时脚本文件，这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息
　　技术描述：Web 服务器通常会使“公共网关接口（CGI）”文件扩展名（如 .pl）与 Perl 之类的某个处理程序相关联。 当 URL 路径结尾是 .pl 时，路径所指定的文件名会发送给 Perl 执行；文件内容不会返回给浏览器。 然而，当在适当的位置编辑脚本文件时，编辑器可以用新的文件扩展名来保存所编辑的脚本的备份副本，例如：.bak、.sav、.old、~ 等等。Web 服务器通常没有这些文件扩展名的特定处理程序。 如果攻击者请求这类文件，文件内容会直接发送到浏览器。
　　从虚拟目录下除去这些临时文件很重要，因为它们可能含有调试目的所用的敏感信息，也可能显露有并非当前逻辑，但仍可能受到利用的应用程序逻辑攻击。
　　缺少 HTTP Strict-Transport-Security 头
　　测试类型：应用程序级别测试
　　威胁分类：信息泄露
　　原因：Web 应用程序编程或配置不安全
　　安全性风险：可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置
　　可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
　　技术描述：HTTP 严格传输安全 (HSTS) 是保护安全 (HTTPS) Web 站点不被降级到不安全 HTTP 的机制。该机制使 Web 服务器能指示器客户端（Web 浏览器或其他用户代理程序）在与服务器交互时始终使用安全 HTTPS 连接，而绝不使用不安全的 HTTP 协议。HTTP 严格传输安全策略由服务器用于通过名为“Strict-Transport-Security”的响应头与其客户机通信。该头的值为客户机应仅使用 HTTPS 访问服务器的时间段。其他头属性包括“includeSubDomains”和“preload”。
　　直接访问管理页面
　　测试类型：应用程序级别测试
　　威胁分类：可预测资源位置
　　原因：Web 服务器或应用程序服务器是以不安全的方式配置的
　　安全性风险：可能会升级用户特权并通过 Web 应用程序获取管理许可权
　　技术描述：公共用户可以通过简单的链接来访问站点上的特定页面。不过，也有页面和脚本可能无法通过简
　　单的链接来访问（即未链接的页面和脚本）。攻击者也许能够通过猜测名称（例如 admin.php、admin.asp、admin.cgi、admin.html 等）来访问这些页面。