在软件测试领域中,有许多方法可用来协助找寻受测的应用软件中所含有的错误,然而目前没有一种方法能够找出某一受测对象所含有的全部问题,想要找出所有包含的漏洞更是困难。目前有三种主要的测试方法,分别为:白盒测试(Whitebox),灰盒测试(Graybox),及黑盒测试 (Blackbox)。
然而,要采用何种方式,依施测者所能取得的相关资源而订,如:白盒测试适合取得相应的源代码,开发规格等资源、黑盒测试则是完全无法取得前述资源,只能从程式外部输入可能接收的文件或参数值、并观察其输出结果,而灰箱测试则界于白盒与黑盒之间,像分析二进位码就是一例。黑盒测试中又可分为人工测试及自动化测试。
本文将以Ratproxy简易示范黑箱测试,如何确认具有XSS漏洞。
Ratproxy是一套半自动化、大范围的被动式网站应用程式安全稽核工具,可有效侦测及自动标记潜在安全问题。可侦测的安全问题如下:
@使用方法
1 | 例如服务器端 IP: 192.168.2.101,测试端:测试机器,ie、Firefox均可 |
5 | 执行ratproxy: ./ratproxy -p 8080 -x -g -w result.txt -v ./log/ -r -XClfscm -d 192.168.2.101 |
6 | # 参数解释:–p <port>:接听之TCP埠号,预设是8080; –x, –g:分别指定检验XSS, XSRF; –w <file>:指定侦测结果输出档桉; –v <directory>:指定储存HTTP trace记录目录; –r:允许远端主机连线; –XClfscm:主动测试; –d <domain>:指定分析的网域 |
7 | 将测试用浏览器的代理地址设置为 127.0.0.1,代理端口设为 8080,然后尽可能深而全的浏览目标网站 |
8 | 产出报表: ./ratproxy-report.sh result.txt > result.htm,报表即有标记的安全性问题描述. |
------------------
web application security assessment tool
ratproxy
A semi-automated, largely passive web application security audit tool, optimized for an accurate and sensitive detection, and automatic annotation, of potential problems and security-relevant design patterns based on the observation of existing, user-initiated traffic in complex web 2.0 environments.
Detects and prioritizes broad classes of security problems, such as dynamic cross-site trust model considerations, script inclusion issues, content serving problems, insufficient XSRF and XSS defenses, and much more.
Ratproxy is currently believed to support Linux, FreeBSD, MacOS X, and Windows (Cygwin) environments.
Quick links
from https://code.google.com/archive/p/ratproxy/
No comments:
Post a Comment