信息收集对于安全测试来说,是非常重要且必要的第一步。有时一次非常全面完善的信息收集甚至会占到一次渗透测试总工程量的的70%到80%,为后续的工作提供大量便利。
Checklist
域名 Whois及备案信息采集
服务器真实 IP 发现
服务器指纹识别
目标子域探测
邮件服务探测
证书信息采集
Web服务组件指纹采集
Web网站目录探测
API接口信息泄露
端口服务组件指纹采集
旁服信息采集
C 段服务采集
GitHub/SVN源码泄露发现
DNS记录分析搜索引擎公开信息采集(google,shodan,zoomeye)
企业信息采集(员工信息,组织框架,企业法人,企业综合信息)
敏感文件发现
社会工程学是信息收集技术的延伸和升级,是更高级的信息利用手段。社会工程学利用系统中最大的漏洞——人来收集更高级,更隐秘的情报,是最直接,最有效的攻击手段之一。
Checklist
身份信息采集
姓名,绰号,性别发现
学籍履历发现
曾、现用手机号发现
关系网络梳理
工作关系网络梳理
生活关系网络梳理
社交信息发现
朋友圈,QQ空间等遗留信息发现
其他交友APP信息发现
水坑攻击
钓鱼攻击
邮件钓鱼
网页钓鱼
口令猜解
三. 业务逻辑
业务逻辑漏洞独立于其他服务却又受其他安全问题牵扰。业务逻辑漏洞通常和正常业务流程中程序的固有不足,逻辑设计缺陷相关,甚至绕过已有的安全防护措施,一般防护手段及安全设备无法防御检测,可谓防不胜防。
Checklist
越权操作测试
订单越权发起、查看、编辑、删除
地址越权添加、删除
用户信息越权查看、编辑
工作流程绕过测试
KYC认证缺陷测试
接口识别
人工识别
OTC逻辑缺陷测试
数值精度测试
资产安全测试
充值
提现
二次验证绕过测试
Google验证器
手机及邮箱验证吗
盘口价格设置缺陷测试
假充值测试
短地址攻击测试
数值精度测试
四. 信息泄露
交易所工作人员如果有所疏忽,就有可能产生信息泄露问题。零时科技安全团队在审计大量交易所后发现,信息泄露问题一般集中于交易所的账户体系、OTC交易系统、用户订单、邀请列表和网站源代码等地。总的来说信息泄露就是对私密的,不应外露的信息保护不当引发的问题。
Checklist
KYC信息泄露
登录注册
忘记密码
邀请列表
OTC交易系统
用户订单
前端源码信息泄露
测试数据泄露
敏感信息泄露
API接口泄露
Github信息泄露
数据库文件/连接凭据
敏感信息泄露
敏感文件信息泄露
robots.txt
crossdomain.xml
sitemap.xml
.git/.svn/.bak
五. 输入输出安全
输入输出的安全问题来源于部分开发人员编码过程中的粗心大意以及应有的安全意识的缺失,如部分开发人员对用户的输入不做任何处理等。这些安全问题对于网站来说是非常严峻的,利用手法繁多且对数据库,网站管理权限,内网都有巨大威胁。
Checklist
跨站脚本(XSS)
模板注入测试
HTTP头注入测试
HTTP参数污染测试
不安全的HTTP方法测试
服务端请求伪造(SSRF)测试
任意文件上传
SQL注入测试
XXE实体化测试
反序列化漏洞测试
HTTP请求夹带(smuggling)攻击测试
代码注入测试
本地文件包含测试
远程文件包含测试
命令执行注入测试
缓冲区溢出测试
格式化字符串测试
六. 配置安全
服务端是一种专门为某一客户端设立的,具有针对性的程序,通常都只具备认证与传输数据功能,但却是网站运行得重要组成部分之一,也是网站的根基。如果服务端配置并不安全,也就意味着根基不牢,危险性可想而知。
Checklist
后端服务组件配置测试
服务器登录安全测试
文件扩展名解析测试
备份文件测试
测试文件测试
测试接口暴露
HTTP方法测试
Web前端跨域策略测试
Web安全响应头部测试
弱SSL/TLS加密,不安全数据传输测试
非加密信道传输敏感数据测试
弱口令及默认口令探测
管理后台发现
七. 用户认证
用户认证是一种非常古老的问题,古早的“盗号”就属于此类。此类安全问题的危害也显而易——当一个恶意攻击者有办法通过认证进入你的账户并拿走你的钱时,他是绝对没有理由把钱放在那的。
Checklist
用户注册过程测试
用户登录过程测试
找回密码过程测试
设备解绑过程测试
验证码策略测试
帐户权限变化测试
帐户枚举测试
弱密码策略测试
口令信息加密传输测试
默认口令测试
帐户锁定机制测试
认证绕过测试
浏览器缓存测试
权限提升测试
授权绕过测试
撞库攻击测试
八. 接口安全
接口,即API,“应用程序编程接口”。是一些预先定义的函数,使得应用程序与开发人员基于某软件或硬件可以访问一组例程,而又无需访问源码或理解内部工作机制的细节。由于其快速、有效和安全、可靠的特性,被开发人员广泛的使用。但如果接口本身没有做好安全防护或者调用时没有做好频率限制,都会导致问题的出现。
Checklist
RPC安全测试
RMI远程命令执行
CORS
Web Service安全测试
SQL注入
信息泄露
GraphQL安全测试
未授权访问
信息泄露
GraPhQL SQL注入
嵌套查询DOS
RESTful API安全测试
数值精度测试
接口频率限制测试
邮箱验证接口
短信验证接口
批量刷单
超时检测
九. APP安全
APP现如今已经被使用得越来越频繁,但其安全方面还处在刚刚起步的阶段,与一张白纸相去不远。故此,即使交易所网站这道“城墙”能使恶意攻击者毫无办法,但如若不慎,APP这道小“暗渠”也能要了城里人的命。
Checklist
App 运行时虚拟机监测
App 运行时root监测
App数据备份检测
代码反编译检测
敏感权限使用
敏感信息泄露
拒绝服务测试
目录穿越安全测试
App 缓存安全检测
接口安全测试
弱加密安全测试
秘钥硬编码安全检测
数据存储安全检测
数据传输安全检测
日志信息泄露检测
App组件导出检测
App组件权限检测
webview 多项漏洞安全测试
App Webview DOM 安全测试
本地SQL注入安全测试
SQLite 存储安全审计
注:以上所有测试均已经过相关交易所授权,请勿自行非法测试。