目录
1
Web安全测试基础
2
AppScan
3
Web安全测试案例
4
Web安全测试实验
第四节 Web安全性测试实验
实验目的
（1）理解Web安全测试的内容； （2） 使用安全测试工具进行Web安全测试； （3）对Web系统进行安全评估；
第四节 Web安全性测试实验
实验内容
（1）请选择一种安全测试工具，建立安全测试环境， 并熟悉该测试工具的测试流程和业务功能。
XSS漏洞可能造成的后果包括窃取用户会话，窃取敏感信息，重 写Web页面，重定向用户到钓鱼网站等。
SQL注入
SQL注入（SQL Injection）就是攻击者把SQL命令插入到Web表 单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的 SQL命令以达到对数据库的数据进行操控。
1.用户登录的表单 2.注入恶意SQL代码 5.返回查询结果
（2）通过一个待测试软件，完整地实施安全测试的流 程。
（3）针对待测试软件，撰写安全测试报告。
第四节 Web安全性测试实验
实验要求
（1） 根据题目要求编写测试用例； （2） 实验结果要求给出两套测试用例集测试效果
比较； （3） 撰写实验报告；
第四节 Web安全性测试实验
实验步骤
3.提交SQL请求 4.解释执行SQL
攻击者
应用程序
SQL注入的攻击过程
数据库
跨站请求伪造
跨站请求伪造(CSRF）是一种对网站的恶意利用，可以在受害者 毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从 而在未授权的情况下执行在权限保护之下的操作。
用户
浏览器
25.1.验.访浏证问览成A并，功登并，录执生网行成站BC的oAo恶ki意e 代码网站A（存在CSRF漏洞） 3.访问恶意网站B 4.B要求访问A
Http Request 攻击特征库
Rational AppScan
Http Response
分析判断是 否存在漏洞
防火墙
Web
应用
服务器 服务器
中间层
数据库 数据层
1. 为新扫描选择模板 2. 选择应用程序或Web Service扫描
AppScan
应用程序： a.输入起始URL；
3. 扫描配置W向eb导Service： a.输入WSDL文件的位置；
目录
1
Web安全测试基础
2
AppScan
3
Web安全测试案例
4
Web安全测试实验
第二节 AppScan
AppScan简介
IBM Rational AppScan是一种自动化 Web 应用程序安全性测试引 擎，能够连续、自动地审查 Web 应用程序，测试安全性问题，并 生成包含修订建议的行动报告，简化修复过程。
5. 复审结果
Appscan窗口
AppScan操作
（1）创扫描
配置URL and Servers
登录管理
配置测试策略
AppScan操作
（2）执行扫描
AppScan操作
（3）扫描结果
AppScan操作
（4）结果报告
案例
Web安全测试案例
采用AppSan工具对LxBlog 博客系统进行安全性测试。
缓冲区溢出攻击是攻击者在程序的缓冲区中写超出其长度的内容， 造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行攻击者 预设的指令，以达到攻击的目的。
XML注入
攻击者可以修改XML数据格式，增加新的XML节点，对数据处理 流程产生影响。
文件上传漏洞 目录遍历漏洞
第一节 Web安全测试基础
IBM Rational AppScan 提供下列功能。
（1）核心漏洞支持 （2）广泛的应用程序覆盖 （3）自定义和可扩展功能 （4）高级补救建议 （5）面向渗透测试人员的自动化功能 （6）法规遵从性报告
AppScan安全模式
AppScan扫描包括三个阶段：探测阶段、测试阶段、扫描阶段。
2. Web安全测试简介
安全性测试（Security Testing）是有关验证应用程序 的安全服务和识别潜在安全性缺陷的过程。
Web安全测试方法主要包括：功能验证、漏洞扫描、模 拟攻击和侦听技术。
第一节 Web安全测试基础
3. Web安全测试工具
常用的安全测试工具有HP公司的WebInspect，IBM公 司的Rational AppScan，Google公司的Skipfish， Acunetix公司的Acunetix Web Vunlnerability Scanner 等。还有一些免费或开源的安全测试工具，如： WebScarab，Websecurify，Firebug，Netsparker， Wapiti等。
《软件测试实践教程》
第七章 Web安全性测试
兰景英
清华大学出版社
目录
1
Web安全测试基础
2
AppScan
3
Web安全测试案例
4
Web安全测试实验
第一节 Web安全测试基础
1. Web常见攻击
跨站点脚本攻击
跨站点脚本攻击 （Cross-Site Scripting，简称 XSS）是指恶意攻 击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌 入其中的html代码会被执行，从而达到恶意用户的特殊目的。
CSRF攻击原理
网站B（恶意网站）
拒绝服务攻击
拒绝服务攻击是攻击者利用大量的数据包“淹没”目标主机，耗尽 可用资源乃至系统崩溃，而无法对合法用户做出响应。
攻击者
主控端
代理端 发送连接请求，耗尽带宽 目标主机
DDoS攻击原理
Cookie欺骗
Cookie欺骗是攻击者通过修改存放在客户端的Cookie来达到欺骗 服务器认证目的。
典 型
b.执行手动登录； c. （可选）复审测试策略；
b.（可选）复审测试策略； c.通过GSC发送请求；
工
作
4. 运行扫描专家
4. 启动自动扫描
流
(可选)让扫描专家先自动评估和
程
5. 启动自动扫描
调整配置，然后启动扫描。
6. 运行结果专家
(可选)允许结果专家在扫描完成 时将问题信息添加到结果。
7. 复审结果
（1）安装安全工具，如AppScan； （2）熟悉安全测试工具的流程和业务功能； （3）针对待测试软件，实施安全测试； （4）撰写安全测试报告。
·
谢谢聆听
通常的攻击方式有三种： 直接访问Cookie文件查找想要的机密信息； 在客户端和服务端进行Cookie信息传递时进行截取，进而冒 充合法用户进行操作。 攻击者修改Cookie信息，在服务端接收到客户端获取的 Cookie信息的时候，就会对攻击者伪造过的Cookie信息进行 操作。
缓冲区溢出