Web安全测试指南--文件系统
上传:
|
编号 |
Web_FileSys_01 |
|
用例名称 |
上传功能测试 |
|
用例描述 |
测试上传功能是否对上传的文件类型做限制。 |
|
严重级别 |
高 |
|
前置条件 |
1、 目标web应用可访问,业务正常运行。 2、 目标系统存在上传功能,并且有权限访问使用。 3、 已安装http拦截代理(burp、fiddler或webscarab均可)。 4、 目标系统使用http而不是ftp等其它方式实现上传。 5、 具有登录目标服务器后台的账户和权限。 |
|
执行步骤 |
1、 登录目标系统并访问具有上传功能的页面。 2、 尝试上传一个合法文件,比如: Host: www.example.com [other HTTP headers] ------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5 Content-Disposition: form-data; name="Filename" 或6无法上传文件,或者上传后无法实际利用。 |
|
测试结果 |
|
|
备注 |
1、 考虑到目标系统可能会做渲染或强制重命名等复杂因素,因此,最好是进行实际利用来判定结果。 2、 如果能够从目标系统的响应信息中构造上传文件的路径,则可以不用登录到目标服务器后台。 3、 本用例只考虑最常见的情况,实际上传漏洞还和业务逻辑、web服务器补丁版本等多个因素有关,需要完善。 |
|
编号 |
Web_FileSys_02 |
|
用例名称 |
上传功能测试 |
|
用例描述 |
测试上传模块是否对用户上传的频度和总容量做限制。 |
|
严重级别 |
中 |
|
前置条件 |
1、 目标web应用可访问,业务正常运行。 2、 目标系统存在上传功能,并且有权限访问使用。 3、 已安装http拦截代理(burp、fiddler或webscarab均可)。 4、 目标系统使用http而不是ftp等其它方式实现上传。 5、 具有登录目标服务器后台的账户和权限。 |
|
执行步骤 |
1、 登录目标系统并访问具有上传功能的页面。 2、 尝试上传一个合法文件,比如: Host: www.example.com [other HTTP headers] ------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5 Content-Disposition: form-data; name="Filename" userpic.jpg [other body content] 3、 将burp拦截到的http请求转入burp intruder。 4、 使用burp intruder并发大量上传请求,并观察结果。 |
|
预期结果 |
目标系统返回类似“过于频繁”或“容量达到上限”的错误提示。 |
|
测试结果 |
|
|
备注 |
1、 并发请求的数量取值应根据业务安全需求来决定,比如:可上传的总容量和频率设置等。 2、 关于burp intruder的使用参考《常见安全工具使用指南》。 |
Web安全测试指南--文件系统的更多相关文章
- Web安全测试指南--认证
认证: 5.1.1.敏感数据传输: 编号 Web_Authen_01_01 用例名称 敏感数据传输保密性测试 用例描述 测试敏感数据是否通过加密通道进行传输以防止信息泄漏. 严重级别 高 前置条件 1 ...
- Web安全开发指南--文件系统
6.1.上传文件功能 简要描述 文件上传漏洞是由于文件上传功能实现代码没有对用户上传的文件进行正确处理,导致允许攻击者向服务某个目录上传文件. 解决方案 上传文件功能只对登录用户开放: 同时通过文件头 ...
- Web安全测试指南--信息泄露
5.4.1.源代码和注释: 编号 Web_InfoLeak_01 用例名称 源代码和注释检查测试 用例描述 在浏览器中检查目标系统返回的页面是否存在敏感信息. 严重级别 中 前置条件 1. 目标we ...
- Web安全测试指南--权限管理
垂直权限提升: 编号 Web_Author_01 用例名称 垂直权限提升测试 用例描述 测试用户是否具有使用超越其角色范围之外的权限. 严重级别 高 前置条件 1. 目标系统拥有不同等级的角色和权限 ...
- Web安全测试指南--会话管理
会话复杂度: 5.3.2.会话预测: 5.3.3.会话定置: 5.3.4.CSRF: 5.3.5.会话注销: 5.3.6.会话超时:
- axis1,xfire,jUnit 测试案列+开Web Service开发指南+axis1.jar下载 代码
axis1,xfire,jUnit 测试案列+Web Service开发指南(中).pdf+axis1.jar下载 代码 项目和资源文档+jar 下载:http://download.csdn. ...
- OWASP固件安全性测试指南
OWASP固件安全性测试指南 固件安全评估,英文名称 firmware security testing methodology 简称 FSTM.该指导方法主要是为了安全研究人员.软件开发人员.顾问. ...
- Web API 入门指南 - 闲话安全
Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患.相关的防御技巧以及Web AP ...
- Web API入门指南(安全)转
安全检测的工具站点:https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools Web API入门指南有些朋友回复问了些 ...
随机推荐
- 更新T1表,要添加一个条件A,但T1表没有A字段
可以这样 如果T2表有A字段,T1.T2表有共同字段B,可以通过T2表A字段为条件查得B字段 再用B字段为条件去更新T1表 update T1 set C = '1' where B in(selec ...
- 2015多校第7场 HDU 5379 Mahjong tree 构造,DFS
题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5379 题意:一颗n个节点n-1条边的树,现在要给每个节点标号(1~n),要求:(1)每一层的兄弟节点的 ...
- linux命令(18):chmod命令
1. 命令格式: chmod [-cfvR] [--help] [--version] mode file 2. 命令功能: 用于改变文件或目录的访问权限,用它控制文件或目录的访问权限. 3. 命令参 ...
- P1474 货币系统 Money Systems(完全背包求填充方案数)
题目链接:https://www.luogu.org/problemnew/show/1474 题目大意:有V种货币,求用V种货币凑出面值N有多少种方案. 解题思路:就是完全背包问题,只是将求最大价值 ...
- 深度学习方法:受限玻尔兹曼机RBM(一)基本概念
欢迎转载,转载请注明:本文出自Bin的专栏blog.csdn.net/xbinworld. 技术交流QQ群:433250724,欢迎对算法.技术.应用感兴趣的同学加入. 最近在复习经典机器学习算法的同 ...
- poj 3404&&poj1700(贪心)
Bridge over a rough river Time Limit: 1000MS Memory Limit: 65536K Total Submissions: 4143 Accept ...
- opencv python实用操作
画多边形 fillConvexPloy与fillConvexPloy的区别 fillConvexPloy 用来画单个凸多边形: 如果点集的连线不是凹多边形,则会找一个最小的凸多边形把该凹多边形包住画出 ...
- [你必须知道的.NET]第二十八回:说说Name这回事儿
发布日期:2009.3.18 作者:Anytao © 2009 Anytao.com ,原创作品,转贴请注明作者和出处. 1 缘起 老赵在谈表达式树的缓存(2):由表达式树生成字符串中提到,在描述Ty ...
- 关于在webapi + ef + 视图 + top查询的问题
在ef中使用视图中有一种坑是视图没有主键,表现的形式是有些数据会出现重复,解决的方法是手动在视图中添加主键即可 在实际的项目中碰到另一种坑,即使用webapi查询时的一种,现记录情况如下: 1:随便创 ...
- (4) go 运算符
1. (1) 整数相除,结果是小数,会舍去小数部分 (2) 使用自增自减时, ++ -- 必须单独一行 (3)只有后 a++,没有前 ++a 2. 3. 4. 5 6. 7. 8.