服务器安全测试方法服务器安全测试方法有哪几种

Web业务安全测试方法（1）—越权测试

来这家公司快四个月了，现在对这四个月的工作做一个总结。挖过越权漏洞、低价买服务漏洞、未鉴权的接口、CSRF漏洞、软件升级未做校验、组件暴露等漏洞，主要是业务方面的。下面我首先针对越权漏洞说下测试方法：

目前创新互联已为近千家的企业提供了网站建设、域名、网络空间、网站改版维护、企业网站设计、改则网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

大家可能对用户信息又疑问，下面我举例来说明用户信息：譬如A用户的订单号是唯一的，B用户删除自己的订单时，把自己的订单号改为A的，如果有越权漏洞，那么B用户就删除了A用户的订单。

限于公司保密需要，我找几个乌云的漏洞来说明下，没有的我就单独说明。

从数据包中，我们可以看到addr_id是唯一标识用户地址的，服务器并没有去做判断用户是否有权限操作，导致了越权漏洞。诸如此类的还有保单信息、医疗保险等信息。这种改id号的最为初级的，也是最容易发现的越权漏洞。下面来看个进阶版。

测试环境：

一次测试过程中，发现获取用户信息的时候要提交自己的用户名，假设是XML文件：

我尝试改为

发现没有权限获取信息。怎么办呢？想到XML文件解析时，可能解析所有的节点，那么我同时提交两者的用户名：

即可得到B用户的信息。

一、服务器测试方法分为两个大方面，性能测试与功能测试。

在性能测试方面采用了新的测试方法，主要分为文件测试、数据库性能测试与Web性能测试三个方面。其中，文件性能与数据库性能采用美国Quest软件公司的Benchmark Factory负载测试和容量规划软件，Web性能测试则使用了Spirent公司提供的Caw WebAvalanche测试仪。

检测网站的安全漏洞方式分为两种：①使用安全软件进行网站安全漏洞检测、②使用渗透测试服务进行安全漏洞检测。

1、使用安全软件进行网站安全漏洞检测

使用检测网站安全漏洞我们可以选择安全软件进行，安全软件可以对我们的网站和服务器进行体验，找出我们服务器以及网站的漏洞并且可以根据安全漏洞进行修复。

2、使用渗透测试服务进行安全漏洞检测

渗透测试是利用模拟黑客攻击的方式，评估计算机网络系统安全性能的一种方法。这个过程是站在攻击者角度对系统的任何弱点、技术缺陷或漏洞进行主动分析，并且有条件地主动利用安全漏洞。

渗透测试并没有严格的分类方法，即使在软件开发生命周期中，也包含了渗透测试的环节，但是根据实际应用，普遍认为渗透测试分为黑盒测试、白盒测试、灰盒测试三类。

①黑箱测试又被称为所谓的Zero-Knowledge

Testing，渗透者完全处于对系统一无所知的状态，通常这类型测试，最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。

②白盒测试与黑箱测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其它程序的代码片段，也能够与单位的其它员工进行面对面的沟通。

③灰盒测试，白+黑就是灰色，灰盒测试是介于上述两种测试之间的一种方法，对目标系统有所一定的了解，还掌握了一定的信息，可是并不全面。渗透测试人员得持续性地搜集信息，并结合已知信息从中将漏洞找出。

但是不管采用哪种测试方法，渗透测试都具有以下特点：

(1)渗透测试是一个渐进的并且逐步深入的过程;

(2)渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容