软件测试培训之web安全测试扫描工具的局限性

软件测试培训之web安全测试扫描工具的局限性

要讨论安全漏洞的原理，先谈谈工具的局限。

说下扫描工具的原理：

说扫描工具的局限：

局限1：扫描未必全面

一个网站，能不能被扫描全面，很大程度取决于爬虫搜集链接的能力。我做过爬虫的测试，所以大致知道爬虫的原理，就是对给定的入口地址发起请求，然后从返 回的内容中抽取链接，然后再请求抽取到的链接，如此反复。包含在HTML中的链接，很容易被抽取到，但是由js生成的链接，抽取的时候就有些难度了，由 Flash生成的链接，更是难于被抽取到。此时有人想说图片验证码了吧?我们做测试可以要求网站开绿灯，暂时屏蔽验证码，这个倒可以不考虑。目前ajax 技术的流行，更让爬虫搜集链接的能力显得捉襟见肘。所以这就暴露出了扫描工具的第一个局限，扫描未必全面。

局限2：对屏蔽错误信息的网站效果不好

如果你觉得扫描不全面可以通过多分析和从不同的入口地址多测试几遍可以克服的话，这个局限就稍微比上边那个有点难度了。这个主要是“校验机构”的局限，校验机构的工作原理是对特定格式的链接或者特定格式的表单匹配特定的模拟攻击用例，模拟攻击。我们知道，攻击是一个请求的过程，也就是一个request，而攻击的结果怎么看?只能从response里看了。以SQL注入为例，当发送一个1'这样的参数值到后台之后，如果返回页面内容中包含了SQLException，那么扫描工具就认定它是一个SQL注入漏洞。但是如果网站设置了错误页面，在有异常发生时直接跳转到一个错误页面，告诉你“出错啦!”，然后再没其它信息，采集工具怎么判断是否存在漏洞?难道你去跟研发人员说“麻烦您把错误页面去掉”吗?要真说了，我们高傲的研发人员肯定不会给你好脸色的。

局限3：对特定的场景不适合

以上只是列举了3点，算是提醒大家多注意一点工具以外的事儿吧，测试这个东西，不是拿个工具就能搞定的。我说这些不是 说大家以后不要用工具，而是要正确的用工具。一个测试申请提交以后，应该首先分析哪些地方可能是工具覆盖不到的，把这些地方先人工检查，剩下的再用工具做 全站覆盖扫描。