【原创】中间件测试方法总结---(3)

0x01 应用测试

对于类似4A、BOP这样的应用,需要进行记录,并按照常规的渗透办法进行安全测试。【必要时候,需要进行登录测试】

其他应用测试

发现办法

协议+IP+端口,协议+ip+端口+路径

常见路径如下,可以自行扩充:

/admin

/console

/login.jsf

/login.jsp

/admin/login.jsf

/admin/login.jsp

/index.html

/index.jsp

/index.jsf

/login.do

/login.action

案例一:加console找到管理台

案例二:IBM Tivoli Monitoring Service Index

案例三:TIVOLI无认证访问

常见的其他应用

IBM Tivoli Monitoring Service Index、HUE、clouder manager、网络设备web控制台、监控平台

测试项目

弱密码测试【尝试弱密码登录,如果不行可以百度搜索平台默认账号密码】如下面控制台账号密码是admin:admin

账号密码传输测试

抓包查看账号密码是否明文传输

Cookie属性测试

查看cookie是否设置httponly属性

Js版本测试

通过抓包找到若干js链接,然后进行扫描,是否存在已知漏洞

Server信息测试

通过查看消息响应头,看是否泄漏server信息

目录遍历

尝试进行目录遍历,加上一些常见路径如,自行扩充:

/img

/jsp

/css

以hadoop为例

启用不安全的方法

信息泄露

Hadoop信息泄露

其他信息泄露

暴力破解测试

主要测试有无图形验证码,图形验证码有无漏洞

短信漏洞

登录界面如涉及到短信验证码,需要进行短信相关漏洞测试

忘记密码

登录界面如涉及到忘记密码模块,需要进行逻辑测试

账号枚举

需要测试能否遍历出正确的用户名

登录界面扫描

在获取到运维同意的情况下,使用WVS工具,对登录界面进行登录扫描

0x02 远控软件测试

通过扫描的端口,发现radmin、vnc等远控工具

原文发布于微信公众号 - 网络安全社区悦信安(yuexin_an)

原文发表时间:2017-07-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏歪先生_自留地

F28069M_GPIO

2543
来自专栏黑白安全

WEB API安全性

应用程序编程接口(API)是允许应用程序彼此通信的软件中介。它为开发人员构建软件应用程序提供例程,协议和工具,同时以可访问的方式提取和共享数据。

6551
来自专栏云计算教程系列

如何在Ubuntu 16.04上安装和配置ownCloud

ownCloud是一个文件共享服务器,允许您将个人内容(如文档和图片)存储在集中位置,就像Dropbox一样。ownCloud的不同之处在于它是免费的开源软件,...

3710
来自专栏漏斗社区

工具| 诸神之眼之邮件发送nmap的扫描报告

VPS上的Nmap还在扫描工作着,而你已经把它忘了忙着其他事情。突然,一封邮件发来,向你汇报本次扫描完毕,和具体的扫描报告。是不是觉得很方便?借助Nmap的库文...

2874
来自专栏FreeBuf

无线宝宝wifi热点共享软件刷流量行为分析

近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量...

2288
来自专栏云计算教程系列

如何在Ubuntu 16.04上安装和配置ownCloud

ownCloud是一个文件共享服务器,允许您将个人内容(如文档和图片)存储在集中位置,就像Dropbox一样。ownCloud的不同之处在于它是免费的开源软件,...

1420
来自专栏木头编程 - moTzxx

TP5 验证码功能实现

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/de...

8162
来自专栏Hadoop数据仓库

HAWQ技术解析(五) —— 连接管理

        服务器启动后,还要经过一系列配置,才能被客户端程序所连接。本篇说明如何配置客户端身份认证,HAWQ的权限管理机制,HAWQ最常用的命令行客户端工...

2679
来自专栏游戏杂谈

Wireshark的简介

--------------------------------------------------------------

1142
来自专栏魏艾斯博客www.vpsss.net

FTP 软件使用教程

4265

扫码关注云+社区

领取腾讯云代金券