后台业务安全（一）

后台业务安全（一）

学习业务安全的准备工作：

• 掌握一套成熟的业务安全测试的方式方法，消化吸收前人总结的宝贵经验，开拓自己的安全事业。
• 了解目标平台的业务流程。

测试技巧：

• 科学的测试方法
• 学会使用思维导图等工具

1、登录认证模块测试

1.1暴力破解测试

方法：根据需求，加载用户字典或密码字典进行穷举测试
步骤：

1、对浏览器进行HTTP代理配置，将浏览器访问请求指向Burp Suite工具默认的监听端口
2、使用burp Suite工具获取浏览器登录请求，并将登录请求数据发送至instruder选项中。此步骤具体的操作为：人工在登录界面点击登录，会被Burp suite工具拦截，我们可以查看接口的详细信息。
3、使用burp suite工具中的instruder模块进行破解参数配置，运行破解任务并成功破解系统账号口令。

修复建议：

1、增加验证码，登录失败一次，验证码更换一次
2、配置登录失败次数限制，如在同一用户尝试登陆的情况下，五分钟内如果连续登陆失败超过六次，则禁止此用户在3小时内登录系统
3、增加手机接收短信验证码或邮箱接收邮箱验证码，实现双因素认证的防暴力破解机制

1.2、本地加密传输测试

方法：针对客户端和服务端的数据传输，查看数据是否采用SSL加密方式加密（即https协议）
步骤：

1、使用Wireshark网络抓包工具，选择与公网连接的本地网卡并开启对网卡流量数据的捕获功能
2、在浏览器中访问要测试的https协议网站，并输入用户名及密码进行登录操作
3、在Wireshark工作捕获流中找到对应https测试网站登录的请求数据包，对该请求包内容进行分析，判断测试网站交互数据是否真正加密。

修复建议：

在架设web应用的服务器上部署有效的SSL证书服务

1.3 Session测试

1.3.1 Session会话固定测试

方法：生成固定Session会话，并诱骗用户利用攻击者生成的固定会话进行系统登录，从而导致用户绘画认证被窃取。判断服务器是否使用与上次相同的SessionID值进行授权认证，若使用相同的SessionID值则存在固定会话风险。
步骤：

1、在一登录授权认证的页面中单击“退出系统”
2、使用burp suite工具对本次推出系统的请求数据进行截取，并对本次授权的SessionID进行记录备份
3、推出系统后，再次重新登录系统
4、使用burp suite工具对本次登录授权请求数据进行截取，并将本次登录与上次登录的授权SessionID值进行比较，判断是否相同

修复建议：

在客户端登录系统时，应首先判断客户端是否提交浏览器的留存Session认证会话属性标识，客户端提交此信息至服务器时，应及时销毁浏览器留存的Session认证会话，并要求客户端浏览器重新生成Session认证会话属性标识

待更新