随著网际网路的不断发展,人们对网路的使用越来越频繁,通过网路进行购物、支付等其他业务操作。而一个潜在的问题是网路的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。
Web 系统的安全性测试包括以下内容:
(1)Web 漏洞扫描
(2)伺服器端信息测试
(3)文件和目录测试
(4)认证测试
(5)会话管理测试
(6)许可权管理测试
(7)文件上传下载测试
(8)信息泄漏测试
(9)输入数据测试
(10)跨站脚本攻击测试
(11)逻辑测试
(12)搜索引擎信息测试
(13)Web Service 测试
(14)其他测试
本章节先主要给大家介绍第(3)点——文件和目录测试
文件和目录测试主要是从伺服器中的文件内容和目录方面测试伺服器是否存在漏洞。主要需要
测试以下几方面的信息:
?1) 目录列表测试
?2) 文件归档测试
?3) Web 伺服器控制台测试
?4) Robots 文件介面查找
?5) 使用工具对敏感介面进行遍历查找
(1)目录列表测试
目录列表可能造成信息泄漏,并且很容易被攻击,所以在测试过程中应该注意查找所有目录列表可能存在的漏洞。
在测试过程中可以使用一些工具对Web 伺服器的目录列表进行测试。下面以DirBuster 工具为例,对目录进行测试。
DirBuster 是一个多线程Java 应用程序,用于暴力破解Web 伺服器上的目录和文件。根据一个用户提供的字典文件,DirBuster 会试图在应用中爬行,并且猜测非链接的目录和有特定扩展名的文件。例如,如果应用使用PHP,用户可以指定「php」为特定文件扩展名,DirBuster 将在每个爬虫程序遇到的目录中猜测名为「字典中的词.php」的文件。DirBuster 能够递归扫描查找的新目录,
包括隐藏的文件和目录。
测试的条件是需要先在测试机上安装JRE 和DirBuster 软体,测试步骤如下:
第一步:运行DirBuster.jar 程序。
第二步:在Host 输入框中输入目标伺服器的IP 地址或域名,在Port 输入框中输入伺服器的埠,如果伺服器只接受HTTPS 请求,则需要在Protocol 下拉列表中选择HTTPS 协议,如图12-11所示