iAudit-Web应用入侵审计系统-测试方案.doc

1、 iAudit Web应用入侵审计系统 测试方案 一、 概述 1． 概况 iAudit Web应用入侵审计系统（以下简称iAudit）对Web站点进行内嵌式监控，记录可疑的HTTP请求数据，并将数据传给监控中心进行集中处理，从而可以分析和统计针对Web站点的各种应用层扫描和攻击。 2． 部署 Web服务器 (监控探头) 监管服务器 (监管中心) HTTP请求工具 (黑客) 普通浏览器 (监管者) 测试环境由Web服务器、监管服务器和一台客户端组成，三者之间通过TCP/IP网络连接。 n Web服务器。即模拟被监管服务器，安装有iAudit监控探头。系统

2、为Windows 2003 / IIS6.0。 n 监管服务器。安装有iAudit监控中心，系统为Windows 2003 / IIS6.0 / PHP / Mysql。 n 客户端。系统为任意版本Windows。客户端扮演两个角色：发起攻击的黑客和使用系统的监管者。 3． 测试工具 使用NetCat工具来发出特定的http请求数据。NetCat：简称nc，又称“网络瑞士军刀”。NetCat是最经典的网络工具之一，它能够建立并接受TCP连接，并可在这些连接上读写数据，直到连接关闭为止。NetCat在几乎所有操作系统上都有相应的运行版本，适合用于网络测试工具和黑客工具。 4． 测试流程

3、 1） 建立环境 搭建环境，确认正常连接。清空日志数据，使用默认的管理用户登录。 2） 入侵访问捕捉测试 按照入侵访问测试用例，依次用NetCat向Web服务发出含有应用扫描和攻击行为的HTTP请求数据，然后查看监管中心，是否有关于此次入侵的记录。 3） 系统功能测试 就入侵访问捕捉测试中的数据进行系统的各项操作。然后，导入外来日志数据进行操作。 4） 其他测试 对自身形态和安全传输等进行测试。 二、 入侵访问捕捉测试 可以记录以下入侵行为（带有应用扫描和攻击行为）的可疑HTTP访问： 编号 信息 描述 10101 Invalid HTTP request lin

4、e 非法请求行。 10109 Unicode full/half width abuse attack attempt Unicode编码滥用。 10110 Proxy access attempt 代理服务请求。 10301 Method is not allowed by policy 不允许的请求方法。 10304 HTTP header is restricted by policy 不允许的请求头。 10305 URL file extension is not allowed by policy 不允许的文件类型。 10306 URL file

5、name is not allowed by policy 不允许的文件名。 10307 URL start path is not allowed by policy 不允许的开始路径。 11101 Blind SQL Injection Attack - 1 SQL盲注攻击1型。 11102 Blind SQL Injection Attack - 2 SQL盲注攻击2型。 11103 SQL Injection Attack - 1 SQL注入攻击1型。 11104 SQL Injection Attack - 2 SQL注入攻击2型。 11105 S

6、QL Injection Attack - 3 SQL注入攻击3型。 11106 SQL Injection Attack - 4 SQL注入攻击4型。 11201 System Command Injection - 1 系统命令注入1型。 11202 System Command Injection - 2 系统命令注入2型。 11203 System Command Injection - 3 系统命令注入3型。 11301 Remote File Access Attempt 企图存取远程文件。 11302 Injection of Undocume

7、nted ColdFusion Tags 非文档coldfusion标记注入。 11303 LDAP Injection Attack LDAP注入攻击。 11304 SSI injection Attack SSI注入攻击。 11305 PHP Injection Attack PHP注入攻击。 11306 Email Injection Attack Email注入攻击。 12101 Cross-site Scripting (XSS) Attack 跨站脚本攻击。 12102 Persistent Universal PDF XSS attack P

8、DF跨站攻击。 16101 Session Fixation 会话定置攻击。 16102 System Command Access 企图存取系统命令。 16103 HTTP Response Splitting Attack HTTP响应头截断攻击。 16104 Restrict Illegal Sql Injection Login SQL注入登录。 16105 Access Parental Path Deny 拒绝父路径。 16106 Illegal Upload Webshell 非法上传Webshell。 系统可以识别以下攻击请求数据的变形。

9、 n 加入空格 n URL解码 n HTML实体解码 n 大写 n 加入注释符 三、 系统功能测试 1． 登录 需要用户名和口令登录。 2． 数据分析 可以列出指定条件下最危险的单项因素，包括：被攻击天数、最危险的服务器、最危险的虚拟主机、最危险的访问者、最危险的小时、最危险的一天、最多的攻击方式。 可以设定分析的分类对象，包括：服务器和虚拟主机。 可以设定分析的过滤条件，包括：起始日期、结束日期、紧急度、访问者IP、URL、规则ID。 3． 日志查看 日志列表中可以列出日志信息，包括：ID、时间、紧急度、服务器、访问者、IP、 URL、报警内容。 点击ID

10、可以得到单条更详细的信息，包括：虚拟主机、方法、攻击点、攻击数据。 可以设定查看的过滤条件，包括：起始日期、结束日期、紧急度、服务器、虚拟主机、访问者IP、URL、规则ID。 4． 日志统计 可以按不同时间间隔列出攻击的分布状况，包括：时列表、日列表、月列表、年列表。 可以按不同对象列出攻击的分布状况，包括：攻击类型、攻击IP、URL、服务器、虚拟主机。 可以设定统计的过滤条件，包括：起始日期、结束日期、紧急度、服务器、虚拟主机、访问者IP。 5． 报告生成 可以自动生成指定年月的完整的PDF格式的Web入侵审计报告，内容包括：总体情况、本月情况、本年情况、分服务器情况、分虚拟主机情况、攻击类型的说明、典型攻击事件的举例。 6． 数据管理 可以查看数据库状态、导入数据、导出数据、清除数据、查看数据操作日志。 7． 系统管理 可以增加和删除用户，可以修改用户的权限。 可以查看用户进行的"登录"、"导入日志"和"清除数据"的操作。 四、 其他测试 1． 自身形态 监管探头无独立的进程、服务和端口。 2． 安全传输 监管探头和监管中心之间的关键数据采用加密传输。 iAudit Web应用入侵审计系统 测试方案 7/7