web應用安全隱患：3種常見的滲透測試漏洞總結，快來收藏√

一、越權漏洞

越權訪問（Broken Access Control，簡稱BAC）是Web應用程式中一種常見的漏洞，由於其存在範圍廣、危害大，被OWASP列為Web應用十大安全隱患的第二名。所謂越權，顧名思義即超過當前使用者的權力範圍，越至不同使用者或獲得更高的系統許可權的一類漏洞。具體到應用當中，當伺服器處理使用者發起的請求時，沒有對該使用者的操作許可權進行判定，從而導致不法分子利用該漏洞篡改使用者資訊，達到增刪改查的目的。該類漏洞在當前的測試中可透過Fiddler手工測試或Appscan自動掃描測試。越權漏洞一般可分為兩類，即水平越權和垂直越權。   加我VX：atstudy-js 回覆“測試”，進入 自動化測試學習交流群~~

1.水平越權：水平越權是指角色許可權相同的使用者之間能非法地互相操作對方的資料。例如，我們有使用者A和使用者B，可以透過Fiddler來代理抓包，擷取使用者A登入時的WEB請求報文，然後分析其Cookie、Uid等資訊，透過將相關值篡改為使用者B的資訊，從而發掘該類漏洞。

2.垂直越權：垂直越權是指不同角色許可權的使用者之間能非法地互相操作對方的資料。該類漏洞的測試原理同水平越權，區別為被篡改的目標使用者B可能為系統管理員等更高許可權的使用者，從而達到獲取不同層級許可權的目的。

二、XSS跨站指令碼漏洞

跨站指令碼攻擊XSS(Cross Site Scripting)是指惡意攻擊者向Web頁面裡插入惡意Script程式碼，當使用者瀏覽該頁時，嵌入Web裡面的Script程式碼會被執行，從而達到惡意攻擊使用者的目的。XSS漏洞可以理解為借彼之手、誘其上鉤。該漏洞一般透過PHP的輸出函式將Javascript程式碼輸出到HTML中，透過使用者本地瀏覽器執行，所以測試XSS漏洞關鍵就是尋找未過濾的輸出函式。在一般的研發實踐中，透過查詢常用函式如echo、print、var等來定位目標。具體XSS可以分為三類，分別為反射型XSS、儲存型XSS、DOM型XSS。

1.反射型XSS：該類漏洞在實際操作中較為常見，攻擊者透過使用帶有惡意指令碼的連結接觸使用者，由使用者觸發XSS來實現攻擊。

主要步驟拆分：

①使用者收到帶有惡意指令碼的連結

②透過訪問該目標抵達目標伺服器

③HTML展示預期內容同時將未過濾的使用者輸入記入XSS

④該部分XSS惡意程式碼向惡意伺服器發起請求

⑤攻擊者從惡意伺服器獲取使用者原始輸入

2.儲存型XSS：該類漏洞相對反射型更加隱蔽，攻擊者繞開使用者層預先在目標資料庫鋪底惡意指令碼，實現使用者被動觸發進而實現資訊竊取和後續攻擊。

主要步驟拆分：

①攻擊者在目標資料庫預埋惡意XSS指令碼

②使用者正常操作訪問伺服器並觸發該部分XSS

③HTML展示預期內容同時將未過濾的使用者輸入記入XSS

④該部分XSS惡意程式碼向惡意伺服器發起請求

⑤攻擊者從惡意伺服器獲取使用者原始輸入

3.DOM型XSS：該漏洞是基於文件物件模型(Document Objeet Model,DOM)的一種漏洞，透過利用當前URL將返回的HTML靜態文字寫入DOM中的document當做JavaScrip程式碼執行，從而導致敏感資訊洩露。

主要步驟拆分：

①類比反射型XSS攻擊者給使用者傳送目標URL

②使用者訪問目標伺服器

③伺服器返回包含JavaScrip的HTML展示給使用者

④該部分XSS利用①中的URL返回給攻擊者

⑤攻擊者獲取敏感資訊對目標發起攻擊

三、檔案上傳漏洞

檔案上傳類漏洞指檔案上傳功能模組或介面，未對檔案型別、附件大小等資訊進行校驗，從而導致攻擊者透過檔案上傳介面上傳惡意檔案。如果上傳的檔案型別和訪問許可權不作控制，則攻擊者可利用此漏洞上傳惡意指令碼或後門程式，獲取伺服器許可權，控制伺服器。同時，也可達到消耗伺服器資源使其拒絕服務進而癱瘓。

檔案上傳漏洞在測試中的關注要點：

1.關注是否限制了上傳檔案的大小，透過比對Post支援的大小來判斷上傳大檔案是否會導致記憶體、磁碟耗盡從而拒絕服務。

2.關注上傳檔案型別是否進行了控制，透過修改檔名最後一個點號後面的字尾（包括點號）後做上傳，判斷是否可以繞過檔案型別、副檔名等校驗判斷。

3.關注上傳的檔案存放路徑安全性、上傳目錄解析、讀取、下載等許可權控制。

以上三類為滲透測試中較為常見的漏洞，也是研發過程中容易被忽視的地方。工欲善其事，必先利其器。在針對漏洞的測試過程中，透過對Fiddler、Wireshark、Jmeter、Burpsuite等工具的應用可以在操作層面掌握擷取、抓包、斷點、篡改、再請求等操作，結合研發過程中的通用實踐來判斷程式結構和目標函式。工具、知識及經驗的不斷積累與組合應用會助你更高效地開展滲透測試，發掘各類漏洞。

最後： 可以我的 個人V：atstudy-js，可以 免費領取一份10G軟體測試工程師面試寶典文件資料。以及相對應的影片學習教程免費分享！，其中包括了有基礎知識、Linux必備、Mysql資料庫、抓包工具、介面測試工具、測試進階-Python程式設計、Web自動化測試、APP自動化測試、介面自動化測試、測試高階持續整合、測試架構開發測試框架、效能測試等。

這些測試資料，對於做【軟體測試】的朋友來說應該是最全面最完整的備戰倉庫，這個倉庫也陪伴我走過了最艱難的路程，希望也能幫助到你！

敲字不易，如果此文章對你有幫助的話，點個贊收個藏，給作者一個鼓勵。也方便你下次能夠快速查詢。