Web安全测试指南--文件系统
上传:
编号 |
Web_FileSys_01 |
用例名称 |
上传功能测试 |
用例描述 |
测试上传功能是否对上传的文件类型做限制。 |
严重级别 |
高 |
前置条件 |
1、 目标web应用可访问,业务正常运行。 2、 目标系统存在上传功能,并且有权限访问使用。 3、 已安装http拦截代理(burp、fiddler或webscarab均可)。 4、 目标系统使用http而不是ftp等其它方式实现上传。 5、 具有登录目标服务器后台的账户和权限。 |
执行步骤 |
1、 登录目标系统并访问具有上传功能的页面。 2、 尝试上传一个合法文件,比如: Host: www.example.com [other HTTP headers] ------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5 Content-Disposition: form-data; name="Filename" 或6无法上传文件,或者上传后无法实际利用。 |
测试结果 |
|
备注 |
1、 考虑到目标系统可能会做渲染或强制重命名等复杂因素,因此,最好是进行实际利用来判定结果。 2、 如果能够从目标系统的响应信息中构造上传文件的路径,则可以不用登录到目标服务器后台。 3、 本用例只考虑最常见的情况,实际上传漏洞还和业务逻辑、web服务器补丁版本等多个因素有关,需要完善。 |
编号 |
Web_FileSys_02 |
用例名称 |
上传功能测试 |
用例描述 |
测试上传模块是否对用户上传的频度和总容量做限制。 |
严重级别 |
中 |
前置条件 |
1、 目标web应用可访问,业务正常运行。 2、 目标系统存在上传功能,并且有权限访问使用。 3、 已安装http拦截代理(burp、fiddler或webscarab均可)。 4、 目标系统使用http而不是ftp等其它方式实现上传。 5、 具有登录目标服务器后台的账户和权限。 |
执行步骤 |
1、 登录目标系统并访问具有上传功能的页面。 2、 尝试上传一个合法文件,比如: Host: www.example.com [other HTTP headers] ------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5 Content-Disposition: form-data; name="Filename" userpic.jpg [other body content] 3、 将burp拦截到的http请求转入burp intruder。 4、 使用burp intruder并发大量上传请求,并观察结果。 |
预期结果 |
目标系统返回类似“过于频繁”或“容量达到上限”的错误提示。 |
测试结果 |
|
备注 |
1、 并发请求的数量取值应根据业务安全需求来决定,比如:可上传的总容量和频率设置等。 2、 关于burp intruder的使用参考《常见安全工具使用指南》。 |
最新文章
- 图片效果集合(js、jquery或html5)
- [Silverlight]监听指定控件(FrameworkElement)的依赖属性(DependencyProperty)的更改
- 跨服务器的session共享
- linux 系统运行级别及修改[转]
- Start-Process传递变量
- linux ssh免密码登录的原理
- 对yield 的理解
- Python中的模块介绍和使用
- nodejs爬虫笔记(二)---代理设置
- java多线程中的三种特性
- Jupyter notebook安装扩展插件
- 硬盘读取速度变慢 — 当前传送模式: PIO模式
- Source insight 中 标题栏路径显示完整路径的方法
- R基础学习(一)-- 连接mysql数据库
- WordPress主题开发实例:get_term_by()获取指定分类链接
- 自定义UITabbarController控制器
- 零基础图文傻瓜教程接入Facebook的sdk
- 集合之Vector
- Java中的常用方法
- [CentOS7] gzip, bzip2, xz 压缩与解压缩
热门文章
- 浅谈C语言中的强符号、弱符号、强引用和弱引用【转】
- skb管理函数之alloc_skb、dev_alloc_skb、kfree_skb、dev_kfree_skb、consume_skb
- C语言的小括号----其实是逗号运算符
- 利用eclipse调试ofbiz之debug使用
- 【LabVIEW技巧】你可以不懂OOP,却不能不懂封装
- canvas画画板,canvas画五角星,canvas制作钟表、Konva写钟表
- 全国省市区数据SQL - 省市区
- hdu 3081(二分+并查集+最大流||二分图匹配)
- poj 3616(动态规划)
- 【JBPM4】流程分支fork - join