接口介绍
本文选取的接口是某培训机构的后台接口
黑马头条:http://toutiao.itheima.net
接口文档:http://toutiao.itheima.net/api.html
HRsass: http://ihrm.itheima.net/
如果违规的话可以私信或评论我看后会修改接口
接口工具使用
接口与安全
黑客视角下为业务流程
OWASP组织
- https://owasp.org/
- https://owasp.org/www-project-top-ten/
- OWASP Mobile
- 所有的做法都是面向安全工程师,而非测试工程师
- 提供的解决方法无法在有限的项目周期内完成
- 主要聚焦于测试工程师需要掌握的安全技能
- 移动端安全
- 服务端安全
安全测试模拟环境
- 安全模拟环境
- DVWA
- https://dvwa.ceshiren.com/index.php
- admin password
服务端
- 安全问题例子
- 服务端安全分类
- 网络安全
- 系统安全
- 应用安全(业务安全)
- 应用代码:Java Python PHP Ruby
- 应用框架:Spring Structs
- 应用服务器:Tomcat JBoss Apache Nginx
常见安全工具
- OWASP ZAP
- WVS
- AppScan
- BurpSuite
- Sqlmap
安全工具关注维度
- 传输
- 敏感信息传输
- 链路加密
- 接口
- 访问控制
- 参数
- 注入:SQL注入,命令注入,文件注入
- 越权:越过更高权限,越过同级权限
- 业务安全常见的checklist
- 业务数据传输链路分析
- http是否传输敏感信息
- tcp 等协议是否可被解密
- 资产分析
- api 清单收集:明确敏感信息分级,可访问验证
- api 参数收集,明确参数分类针对分析
- token 可遍历
- 文件上传
- 身份参数的有效验证
- 建立安全测试流程
- 白盒代码分析:自动化
- sonar, findbugs等
- 黑盒扫描机制:自动化
- zap,wvs,burpsuite,appscan,sqlmap
- 业务流程安全搜索: 人工检测
- burpsuite,zap
- 白盒代码分析:自动化
- 业务数据传输链路分析
命令注入漏洞
- 命令注入是一种攻击,其目标是通过易受攻击的应用程序在主操作系统上执行任意命令。当应用程序将用户提供的不安全数据(表格),cookie,HTTP标头等)传递到Shell时,可能会发生命令注入攻击。在这种攻击中,通常由易受攻击的应用程序以特权执行由攻击者提供的操作系统命令。由于没有足够的验证,因此可能发生命令注入攻击
- 常用漏洞利用payload
- 多语句分号:;
- 条件执行: && ||
- 管道符号: |
- 常用漏洞利用payload
SQL 注入漏洞
-
SQL 注入,也称SQL注入或SQL注码,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误以为是正常的SQL指而运行,因此遭到破坏或是入侵
-
常见的sql注入命令
-
sql危害与预防
- 危害: 漏洞可以让黑客无限制的使用sql,造成数据泄露甚至远程命令执行
- 预防:使用参数化查询避免数据被混在指令中
XSS 漏洞
-
XSS漏洞简介
-
常见的攻击手段
-
危害与防范