Web安全测试指南--文件系统

编号	Web_FileSys_01
用例名称	上传功能测试
用例描述	测试上传功能是否对上传的文件类型做限制。
严重级别	高
前置条件	1、目标web应用可访问，业务正常运行。 2、目标系统存在上传功能，并且有权限访问使用。 3、已安装http拦截代理（burp、fiddler或webscarab均可）。 4、目标系统使用http而不是ftp等其它方式实现上传。 5、具有登录目标服务器后台的账户和权限。
执行步骤	1、登录目标系统并访问具有上传功能的页面。 2、尝试上传一个合法文件，比如： Host: www.example.com [other HTTP headers] ------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5 Content-Disposition: form-data; name="Filename" 或6无法上传文件，或者上传后无法实际利用。
测试结果
备注	1、考虑到目标系统可能会做渲染或强制重命名等复杂因素，因此，最好是进行实际利用来判定结果。 2、如果能够从目标系统的响应信息中构造上传文件的路径，则可以不用登录到目标服务器后台。 3、本用例只考虑最常见的情况，实际上传漏洞还和业务逻辑、web服务器补丁版本等多个因素有关，需要完善。

编号	Web_FileSys_02
用例名称	上传功能测试
用例描述	测试上传模块是否对用户上传的频度和总容量做限制。
严重级别	中
前置条件	1、目标web应用可访问，业务正常运行。 2、目标系统存在上传功能，并且有权限访问使用。 3、已安装http拦截代理（burp、fiddler或webscarab均可）。 4、目标系统使用http而不是ftp等其它方式实现上传。 5、具有登录目标服务器后台的账户和权限。
执行步骤	1、登录目标系统并访问具有上传功能的页面。 2、尝试上传一个合法文件，比如： Host: www.example.com [other HTTP headers] ------------Ij5Ij5cH2GI3cH2ei4GI3Ef1GI3Ij5 Content-Disposition: form-data; name="Filename" userpic.jpg [other body content] 3、将burp拦截到的http请求转入burp intruder。 4、使用burp intruder并发大量上传请求，并观察结果。
预期结果	目标系统返回类似“过于频繁”或“容量达到上限”的错误提示。
测试结果
备注	1、并发请求的数量取值应根据业务安全需求来决定，比如：可上传的总容量和频率设置等。 2、关于burp intruder的使用参考《常见安全工具使用指南》。

巴特西