上传:

编号

Web_FileSys_01

用例名称

上传功能测试

用例描述

测试上传功能是否对上传的文件类型做限制。

严重级别

前置条件

1、  目标web应用可访问,业务正常运行。

2、  目标系统存在上传功能,并且有权限访问使用。

3、  已安装http拦截代理(burp、fiddler或webscarab均可)。

4、  目标系统使用http而不是ftp等其它方式实现上传。

5、  具有登录目标服务器后台的账户和权限。

执行步骤

1、  登录目标系统并访问具有上传功能的页面。

2、  尝试上传一个合法文件,比如:

Host: www.example.com

[other HTTP headers]

------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5

Content-Disposition: form-data; name="Filename"

或6无法上传文件,或者上传后无法实际利用。

测试结果

 

备注

1、  考虑到目标系统可能会做渲染或强制重命名等复杂因素,因此,最好是进行实际利用来判定结果。

2、  如果能够从目标系统的响应信息中构造上传文件的路径,则可以不用登录到目标服务器后台。

3、  本用例只考虑最常见的情况,实际上传漏洞还和业务逻辑、web服务器补丁版本等多个因素有关,需要完善。

 

编号

Web_FileSys_02

用例名称

上传功能测试

用例描述

测试上传模块是否对用户上传的频度和总容量做限制。

严重级别

前置条件

1、  目标web应用可访问,业务正常运行。

2、  目标系统存在上传功能,并且有权限访问使用。

3、  已安装http拦截代理(burp、fiddler或webscarab均可)。

4、  目标系统使用http而不是ftp等其它方式实现上传。

5、  具有登录目标服务器后台的账户和权限。

执行步骤

1、  登录目标系统并访问具有上传功能的页面。

2、  尝试上传一个合法文件,比如:

Host: www.example.com

[other HTTP headers]

------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5

Content-Disposition: form-data; name="Filename"

userpic.jpg

[other body content]

3、  将burp拦截到的http请求转入burp intruder。

4、  使用burp intruder并发大量上传请求,并观察结果。

预期结果

目标系统返回类似“过于频繁”或“容量达到上限”的错误提示。

测试结果

 

备注

1、  并发请求的数量取值应根据业务安全需求来决定,比如:可上传的总容量和频率设置等。

2、  关于burp intruder的使用参考《常见安全工具使用指南》。

Web安全测试指南--文件系统的更多相关文章

  1. Web安全测试指南--认证

    认证: 5.1.1.敏感数据传输: 编号 Web_Authen_01_01 用例名称 敏感数据传输保密性测试 用例描述 测试敏感数据是否通过加密通道进行传输以防止信息泄漏. 严重级别 高 前置条件 1 ...

  2. Web安全开发指南--文件系统

    6.1.上传文件功能 简要描述 文件上传漏洞是由于文件上传功能实现代码没有对用户上传的文件进行正确处理,导致允许攻击者向服务某个目录上传文件. 解决方案 上传文件功能只对登录用户开放: 同时通过文件头 ...

  3. Web安全测试指南--信息泄露

    5.4.1.源代码和注释: 编号 Web_InfoLeak_01 用例名称 源代码和注释检查测试 用例描述 在浏览器中检查目标系统返回的页面是否存在敏感信息. 严重级别 中 前置条件 1.  目标we ...

  4. Web安全测试指南--权限管理

    垂直权限提升: 编号 Web_Author_01 用例名称 垂直权限提升测试 用例描述 测试用户是否具有使用超越其角色范围之外的权限. 严重级别 高 前置条件 1.  目标系统拥有不同等级的角色和权限 ...

  5. Web安全测试指南--会话管理

    会话复杂度: 5.3.2.会话预测: 5.3.3.会话定置: 5.3.4.CSRF: 5.3.5.会话注销: 5.3.6.会话超时:

  6. axis1,xfire,jUnit 测试案列+开Web Service开发指南+axis1.jar下载 代码

    axis1,xfire,jUnit 测试案列+Web Service开发指南(中).pdf+axis1.jar下载    代码 项目和资源文档+jar 下载:http://download.csdn. ...

  7. OWASP固件安全性测试指南

    OWASP固件安全性测试指南 固件安全评估,英文名称 firmware security testing methodology 简称 FSTM.该指导方法主要是为了安全研究人员.软件开发人员.顾问. ...

  8. Web API 入门指南 - 闲话安全

    Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患.相关的防御技巧以及Web AP ...

  9. Web API入门指南(安全)转

    安全检测的工具站点:https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools Web API入门指南有些朋友回复问了些 ...

随机推荐

  1. 手動設定 電池溫度 mtk platform

    adb root adb shell echo "3 1 27" > ./proc/mtk_battery_cmd/battery_cmd 27 即是所要設定的溫度, 此設定 ...

  2. python基础===Windows环境下使用pip install 安装出错"Cannot unpack file"解决办法

    不知道为什么,加了豆瓣镜像源还是不行 这个命令可以解决! pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douba ...

  3. 2017多校第8场 HDU 6138 Fleet of the Eternal Throne 思维,暴力

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=6138 题意:给了初始区间[-1,1],然后有一些操作,可以r加上一个数,l减掉一个数,或者同时操作,问 ...

  4. Educational Codeforces Round 26 F. Prefix Sums 二分,组合数

    题目链接:http://codeforces.com/contest/837/problem/F 题意:如题QAQ 解法:参考题解博客:http://www.cnblogs.com/FxxL/p/72 ...

  5. linux命令--head

    head 与 tail 就像它的名字一样的浅显易懂,它是用来显示开头或结尾某个数量的文字区块,head 用来显示档案的开头至标准输出中,而 tail 想当然尔就是看档案的结尾. 具体使用参考链接: h ...

  6. linux命令(11):df命令

    1.查看磁盘空间和当前的磁盘数:df –lh或者df –i 2.显示指定类型磁盘:df -t ext4 3.列出各文件系统的i节点使用情况:df  -ia 4.列出文件系统的类型:df -T

  7. HDU-2487

    Ugly Windows Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Tota ...

  8. 数据结构与算法之--高级排序:shell排序和快速排序

    高级排序比简单排序要快的多,简单排序的时间复杂度是O(N^2),希尔(shell)排序大约是O(N*(logN)^2),而快速排序是O(N*logN). 说明:下面以int数组的从小到大排序为例. 希 ...

  9. 如何设置WordPress文章特色图像(Featured Image)

    WordPress的特色图像(Featured Image)是一个很方便的功能,过去为了给每篇文章设置一个缩略图,我们需要用脚本去匹配文章中的第一张或者最后一张图片,或者通过附件方式获取图片,有了特色 ...

  10. 微信小程序获取用户信息“授权失败”场景的处理

    很多的时候我们在处理小程序功能的时候需要用户获取用户信息,但是呢为了信息安全,用户不授权导致授权失败场景:但是小程序第二次不在启动授权信息弹层,为了用户体验,可以用以下方式处理: function i ...