安全测试——目录设置
目录设置对系统的安全性而言非常关键。日常生活中,很多人在一些应用系统中通过某些小手段总能看到本不该展现的数据信息。
【案例1 ECShop目录安全测试】
通过某商品的图片属性查看其网络路径,如ECShop商品图片的地址:
http://192.168.0.105/ecshop/images/201605/goods_img/70_G_1462955414630.jpg
分析上述路径结构可知,其上一级目录路径为“goods_img”,在浏览器直接键入对应的地址,如“http://192.168.0.105/ecshop/images/201605/goods_img”,可以访问所有图片信息列表,如图1所示,测试工程师如果发现类似的问题,应当及时提出缺陷。
图1 商品图片列表目录
AppScan扫描结果显示ECShop系统存在25个目录安全问题,如图2、图3所示。其他24个目录安全问题此处不一一列出,读者可利用AppScan自行测试验证。
图2 ECShop目录安全缺陷1
图3 ECShop目录安全缺陷2
除了上述目录安全文件,链接安全性也需关注,如果产品有防下载设置,测试工程师应当进行测试。
有些网络攻击,是通过系统的管理入口进行的。对于常见的管理员后台入口页面名称在设置目录时同样需要注意,不应将入口名称或路径做普通文件设置,应加以保护,如变换入口目录路径或重命名关键文件。例如,管理员入口地址“http://192.168.0.105/ecshop/admin”可改为“ttp://192.168.0.105/ecshop/eca”,以免用户轻易猜出入口地址。
【案例2 NBSI测试登陆入口安全】
利用NBSI工具探测ECShop管理登陆入口结果如图4所示。
图4 NBSI扫描网站管理后台结果
相关文章
- Unity导出iOS真机测试教程
- 【华为云技术分享】【测试微课堂】测试金字塔和持续自动化测试
- C#测试web服务是否可用
- JMeter - REST API测试 - 完整的数据驱动方法(翻译)
- 使用java底层实现邮件的发送(含测试,源码)
- 安全测试全面总结-9-移动端安全问题 frida Xposed
- 安全测试全面总结-5-shell命令注入漏洞
- 机器学习入门06 - 训练集和测试集 (Training and Test Sets)
- 记一次对某客户端的安全测试
- 安全测试全面总结-10-OWASP-ZAP工具使用
- 代码静态测试王者新版上线——Helix QAC 2021.3:我的格局打开了
- 【安全测试】安全测试浅析
- 一名新手测试经理3个月试用期转正总结【人情世故】
- 安全测试===sqlmap(零)转载
- 2022年全国职业院校技能大赛(中职组)网络安全竞赛试题——中间人攻击渗透测试解析(详细)