iT邦幫忙

2023 iThome 鐵人賽

DAY 13
0
自我挑戰組

馬克的 Kali Linux 與資安學習小筆記系列 第 13

30-13 OWASP - Configuration and Deployment Management Testing ( 2 )

  • 分享至 

  • xImage
  •  

https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/README

Test HTTP Methods

Test HTTP Methods

這個測試主要目標在在於以下幾個 :

  • Discover the Supported Methods: 知道這個 web 服務所支援的 http method,通常我們可以用 http 的 option method 來知道。

  • Testing for Access Control Bypass: 嘗試看看可不可以不同的 method 或是不存在的 method 繞過驗證 。

  • Testing for Cross-Site Tracing Potential: 測試 XSS 攻擊

  • Testing for HTTP Method Overriding : 有些時後代理伺服器或防火牆可以會防一些比較危險的 http method 例如 delete、patch,然後這裡就是會在 http header 來嘗試看看可以不可以成功模擬不被允許的 method。

    • X-HTTP-Method

    • X-HTTP-Method-Override

    • X-Method-Override

4.2.7 Test HTTP Strict Transport Security

Test HTTP Strict Transport Security

HTTP Strict Transport Security ( HSTS ) 它是一種網頁安全功能,簡單的話,它就是讓 web 告訴瀏覽器說,這個網頁我們不給非 https 的渣渣看,它主要用來防止 SSL 剝離攻擊。

它告訴瀏覽器的方法就是 http response header 回傳Strict-Transport-Security 這個表頭,然後包含這幾個資訊 :

  • max-age= : 在這段時間內,瀏覽器向這個 domain 都必需要用 https。

  • includeSubDomains : 有加就代表整個 subdomain 都包含。

  • preload : 有點看不出懂。

如果有個表頭為Strict-Transport-Security: max-age=31536000; includeSubDomains 代表再這一年中,瀏覽器向這個 domain 或 subdomains 都必須用 https,然後瀏覽器會自動將 http 轉成 https。

可以用下面這個方式看到,不過大部份 web 開發者都應該知道怎麼看 response header。

marklin at MarkdeMacBook-Pro in ~
$ curl -s -D- https://hahow.in | grep -i strict

strict-transport-security: max-age=15724800; includeSubDomains

4.2.8 Test RIA Cross Domain Policy

Test RIA Cross Domain Policy

這裡應該就是我們 web 開發者很常看到的 cors ?

4.2.9 Test File Permission

Test File Permission

這個就是系統的檔案權限部份,看權限的方法可以用我們之前這篇的東西來看。

30-3 Linux 的 Role 與權限

4.2.10 Test for Subdomain Takeover

Test for Subdomain Takeover

這是一種 subdomain 佔領的概念,也就是說受害者的 dns 服務的 dns record 被指向 hacker 的服務。

這裡的防止方法就應該就是要用 nmap 來找出我們大部份的 subdomain 然後來看看 dns record ( cname ) 有沒有被指向到其它不知道的地方。

4.2.11 Test Cloud Storage

Test Cloud Storage

主要就是在在說 cloud storage 的權限問題,主要測試的地方有 :

  • 讀取到 unauthorized 資料。

  • 可以隨便上傳檔案。

問題

1. 什麼是 XSS 攻擊呢 ?

2. SSL 剝離攻擊 ?


上一篇
30-12 OWASP - Configuration and Deployment Management Testing ( 1 )
下一篇
30-14 Identity Management Testing
系列文
馬克的 Kali Linux 與資安學習小筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言