第3部分 安全测试 测试需求:完成电子商务系统的以下安全测试工作。
- 对旧版本的登录功能进行暴力攻击测试
- 分别对新版本的通过邮件/电话号码找回密码,进行篡改邮件地址/电话号码进行安全性测试。
- 分别对旧版本进行试图查看/修改/删除别人的信息的安全性测试。
安全测试 安全测试方法中很重要的一种手段就是利用像Burp Suite这样的发包工具来截获HTTP请求包,进行信息篡改,最后发给服务器,观察服务器做出什么反应。JMeter其实也是一个发送HTTP请求的工具,可以自定义请求的内容,所以理论上Burp Suite可以实现的功能都可以用JMeter来实现。 1 暴力攻击 为了方便起见,我们以接口测试中的MySQL数据作为暴力破解字典。 1)建立一个新的jmx文件,命名为ebusiness_sec.jmx。 2)在Test plan下建立线程组。 3)右击线程组,在弹出菜单中选择“添加->逻辑控制器->模块控制器”。按照图1所示。” 关于模块控制器将在第6.1-1节进行介绍。
图1 模块控制器
4)右击线程组,在弹出菜单中选择“添加->测试片段->测试片段”。修改名称为“暴力破解”,按照图2所示。” 关于测试片段将在第6.2-1节进行介绍。重新点击模块控制器,点击线程组左边的 号,如图3所示,出现“暴力破解”测试片段,以后我们添加新的测试片段,就可以在这里选择需要测试的对应测试片段了。
图2 测试片段
图3 加了“暴力破解”后的模块控制器
5)在模块控制器后面建立HTTP请求默认值。如第4.1.3节第5)步进行设置。 6)在模块控制器后面建立HTTP Cookie管理器。 7)按照第5.4.2节建立JDBC Connection Configuration和JDBC Request。在JDBC Request的Variable name下输入username,password。如图4所示。
图4 在JDBC Request的Variable name下输入username,password
8)点击暴力破解测试片段,在弹出菜单下选择“新建->逻辑控制器->ForEach控制器”。如图5所示。
图5
- 名称改为:根据username控制
- 输入变量前缀:username。
- 开始循环字段(不包含):0。
- 循环结束字段(包括):5。
- 输出变量名称:new_username。
- 选择数字之前加下划线"_"。
9)点击根据username控制,在弹出菜单下选择“新建->逻辑控制器->ForEach控制器”。如图6所示。
图6 根据password控制
- 名称改为:根据password控制
- 输入变量前缀:password。
- 开始循环字段(不包含):0。
- 循环结束字段(包括):5。
- 输出变量名称:new_password。
- 选择数字之前加下划线"_"。
在这里我们采用两个ForEach控制器,相当于Burp Suite测试器中的集束炸弹的作用。关于ForEach控制器将在第6.1-1节中进行介绍。 10)按照图7设置下面的元件。
图7 设置暴力破解的下面元件
11)在商品列表HTTP请求中,username的值设置为:{new_username};password的值设置为:{__digest(SHA-256,${new_password},,,)}。 12)为了寻找方便,我们在商品列表下的响应断言设置为:用户名或者密码错误。 13)运行测试。 14)在暴力破解测试片段下添加察看结果树。 15)运行测试。 16)在察看结果树中寻找断言失败的,即为暴力破解成功的。然后在调试取样器中查看取得的用户名和密码。如图8所示。
图8 暴力破解成功的数据
作为白帽子黑客,暴力破解的目的是检查用户设置的用户名和密码是否过于简单,如果被暴力破解查处,可以通知用户修改用户名和密码,这样就给产品增加看了一项增值业务,站在安全的角度上为用户所想。
