【www.gbppp.com--手工制作】
安全测试可以先参考在线文档: {+}
为什么要手动测XSS?
正常情况下XSS漏洞基本可以采用Hatrix覆盖业务流程来进行扫描,但是Hatrix覆盖不到的场景就需要进行必要的手动测试。
手动XSS测试的范围识别
1. 主要针对存储型的XSS漏洞,即提交的数据不在立即返回的页面中展现,这时需要考虑进行手动XSS检查;比如新增一条Message,而打开的
Message验证XSS时,需要知道对应MessageID,因为MeesageID是动态生成的,所以Hatrix是无法获取对应数据进行自动验证。
2. 特殊数据格式提交。当请求的数据不是常见GET或POST key=value的格式时需要手动进行测试,比如Allin项目中所有请求均是将数据封装为
json格式提交。
手动XSS测试的方法
手动XSS的测试数据可以采用以下方法进行验证:
输入数据('';!--"<XSS>=&{()}) 验证输出数据是否进行了Html转义('';!--"<XSS>=&);更多手动测试的用例可以参考:{+}
为什么要手动测试CSRF
Hatrix中集成了检查了CSRF的功能,但是这只是检查POST请求中是否包含了CSRF_TOKEN,但是CSRF_TOKEN是否生效,Hatrix工具无法检查,所以重要的业务场景需要进行手动的CSRF漏洞检查。
手动CSRF检查的范围评估
1. 确保项目的技术方案中是否默认是强制进行CSRF检查的,如果技术方案已经是强制检查就不需要进行手动的CSRF检查。国际站目前只有Hermes
反馈是强制检查了,其他都需要评估范围。
2. 不需要考虑手动CSRF检测范围评估的是:没有登录状态下的操作,比如搜索、Login操作;需要输入验证码或密码的功能,比如修改邮箱地址的
操作等。
3. 对于敏感数据的增删改操作,都需要进行手动的CSRF检测。敏感数据的定义:数据的变化会对用户的正常业务产生影响。比如账户信息的修改删
除;用户Message的发送、更新、删除;支付下单支付等操作。这些操作的数据修改会对用户的业务功能产生影响,这样就需要进行手动CSRF检查。
手动CSRF检查的方法
1. 判断该增删改操作提交的数据中是否包含csrf_token。可以利用Firefox的firebugs工具检查,比如国际站就判断表单中是否包含name为_csrf_token_的数据:
如果不存在则认为存在CSRF漏洞。
1. 如果第一步中存在csrf_token, 再利用firebugs删除csrf_token,比如删除这个<input>,然后正常提交数据判断操作是否成功,如果删除csrf_token后操作依然成功,则说明存在CSRF漏洞,反之则说明不存在CSRF漏洞。
为什么要手动测试AccessControl漏洞
因为漏洞和业务逻辑紧密结合,所以目前没有理想的自动化工具进行AccessControl漏洞的检查。说需要进行手动的检查判断此类漏洞。 AccessControl漏洞范围评估
1.
2. 水平权限检测。项目中有部分数据和操作时用户私有的,其他账户是无法访问或是操作,此时需要对这类功能进行水平权限检测。 垂直权限检查。项目中有部分数据和操作是权限等级划分,低等级的账户的无法访问或操作高等级权限的数据,此时需要对这类功能进行垂直权限检查。
手动检查方法
AccessControl漏洞的检查主要通过以下两种方式:
1. 修改数据的标示数据。比如删除Message功能,删除操作提交的数据中包括MessageID,测试时可以修改MessageID为其他用户用的MessageID,然后提交判断操作是否成功,如果成功则说明存在AccessControl漏洞。
2. 通过更换账户访问数据或操作判断是否存在AccessControl漏洞。
详细step by
step :
文件上传暂时也无法实现自动化检测,所以需要进行手动检查。
文件上传手动检查范围评估
1. 业务中所有的上传功能都需要进行手动检查
文件上传漏洞手动检查方法
1. 对于上传图片功能,只需测试这两张图片是否能成功上传,如果能正常上传,则说明有上传漏洞。图片地址是:
2. 对于其他文件上传功能,主要验证是否上传其他需求中定义以外类型的文件。此外如果需求中定义能上传html、txt、exe、sh等文件时也是属于
存在上传安全漏洞的。
URL Redirect漏洞能导致钓鱼、挂马等多种危害。
URL Redirect手动测试的范围评估
1.
2. 项目中的服务器302跳转地址是由用户提交的,或是根据用户提交数据拼接生成的 页面中存在js的浏览器跳转。
URL Redirect手动检测的方法
1. 修改用户提交的跳转目的地址为非alibaba域名的地址,检查能成功跳转,如果可以跳转,则说明存在URL Redirect漏洞。比如Login环境登录
成功可以调到用户提交的参数return_url的地址:
https://login.alibaba.com/login.htm?from=myalibaba&return_url=
测试时可以将return_url改为,判断成功登陆后是否能跳转到baidu,如果可以则说明存在URL Redirect漏洞。需要说明的用户提交的这个url地址除了在Get的parameters中,也可能在Post中数据中,检查的方法也相同。
2. 部分场景下可能需要浏览器的跳转,比如页面中有这段js: function redirect(url){ window.location="} 如果
url是用户可以定义的,比如是location.href的中url参数中获取:?url=baidu
URLRedirect漏洞。 这样打开这个页面就存在
Flash
项目中可能使用部分flash,但是flash存在安全隐患。
Flash检查的范围评估
1. 项目中存在alibaba域名下的flash,或是应用下的swf文件
手动检查方法
1. 将flash或swf文件提交到flash检查平台:
添加注释
解读阿里巴巴全球速卖通平台
[ 字号:大 中 小 ] 来源:亿邦动力 . WIN IN EC.
一、阿里巴巴外贸小额批发零售平台简介
从2009年8月6日起,阿里巴巴小额外贸批发及零售平台全球速卖通(wholesale.alibaba.com)正式进入试运行阶段,该平台目前依附于阿里巴巴国际站(/),为阿里巴巴国际站的一部分,目前只向已付费的中国供应商会员开放。 全球速卖通是阿里巴巴帮助中小企业接触终端批发零售商,小批量多批次快速销售,拓展利润空间而全力打造的融合订单、支付、物流于一体的外贸在线交易平台。此平台适合体积较小,附加值较高的产品,比如首饰、数码产品、电脑硬件、手机及配件、服饰、化妆品、工艺品、体育与旅游用品等相关产品。
要入驻全球速卖通平台需交纳19800元年费先成为中国供应商,已付费的中国供应商可免费入驻此平台,此平台暂不对中国供应商以外的卖家开放。除19800元的年费之外,阿里巴巴还会向该平台上每笔成功交易根据不同的支付方式收取交易总额3%~9.15%的不等交易佣金。此平台目前支持电汇、支付宝以及其它跨国在线支付方式。其中,若卖家采用支付宝进行交易,在优惠期内,阿里巴巴只收取3%的佣金。
对于全球速卖通平台,阿里巴巴官方称在试运行期间他们只是邀请少量海外买家试用新平台,在此期间买家下单较少,一旦平台正式上线,阿里巴巴会在海外展开大规模推广。
亿邦动力网认为全球速卖通平台提供的服务与EBay以及敦煌网等无本质差别,只在卖家准入,收费方式,交易流程上有细微差别,全球速卖通平台实质上可认为是外贸版的淘宝。全球速卖通平台将成为阿里巴巴新的利润增长点,并与敦煌网、EBay等形成竞争。 全球速卖通平台如图2所示:
二、全球速卖通平台商业模式详解
以下为一种商业模式的通用表述方法,用以阐明全球速卖通平台的商业逻辑。它描述了全球速卖通平台:1)提供的什么产品;2)为谁提供产品;3)如何提供产品;4)成本结构;5)盈利模式。如图3所示:
2.1全球速卖通平台提供的产品是什么?
全球速卖通平台是为中国供应商(生产厂、国际贸易公司)和国际中小采购商提供在线交易服务的互联网平台。
通过使用全球速卖通平台的服务,国际采购商能够直接采购到最低价格的中国制造的全线产品,并享受到安全、快捷(如同B2C交易方式)的贸易过程。
通过全球速卖通平台的服务,中国供应商能够直接把产品在平台上进行出售。
2.2全球速卖通平台的目标客户都是谁?
全球速卖通平台上的“目标客户”主要是两类人,一类是买家,一类是卖家。这两类人群中,全球速卖通平台只向卖家收费。详情如下:
2.2.1全球速卖通平台的买家是谁?
买家主要是包含两类人群,线上的是在诸如EBAY、AMAZON.COM等平台上的零售商;线下的主要是一些实体店中的中小零售商。如图4所示:【www.alibaba.com】【www.alibaba.com】
2.2.2全球速卖通平台的卖家是谁?
全球速卖通平台平台上的主要卖家为Alibaba.com平台上现有的中国供应商会员。此类卖家主要由外贸生产型企业、外贸公司、外贸SOHO一族组成,这类人群同时也很有可能是EBay、dhgate.com、tradetang.com以及淘宝等各类C2C平台上做生意的卖家。这几类卖家中,主要以中小型的外贸公司以及外贸SOHO一族为主,一些有实力的外贸生产型企业参与的比例较小。如图5所示:
2.2.3全球速卖通平台如何拓展买家?
全球速卖通平台因目前只是Alibaba.com的一个子频道,故其买家主要来源为Alibaba.com。另外,还靠搜索引擎优化、付费搜索引擎推广、网站联盟、许可电子邮件营销等方式把海外买家吸引到全球速卖通平台平台上。如图6所示:
世界B2b 网站大全
阿里巴巴
中国制造网:/
南方交易网:
中华商埠
企业在线 /
中国商网
今日网 .cn/
商讯网 /suminfo/default.asp 商贸通 /cn/index.htm
商桥 /
马可波罗在线 .cn/
国信贸易在线
新时代资讯网 /
视点信息网 .cn/
中国商贸人 中韩贸易网 /
中英商桥网 .cn/
慧聪商务网 .cn/
万国商业网
华北商务网 /
西部商务网 /
商务基地网 /
华夏商务网 /
中华工商网 .cn/ 中华第一网
第一商务网 .cn/
完全商务网 /
中华商务网 /
中央商务网 /
中商贸易网 /
中国企业网 /
中国企业互联网 .cn/
中国中小企业网 /
中国招商投资网 .cn/
中国商品信息网 /script/index.asp 中国产品贸易网 /index.asp 双乘供求信息网 /
中国供求信息网 /
香港国际商务网 /default.asp 中外商贸信息网 /
世界电子商务网 /
国际经贸信息网 .cn/
b2b贸易服务平台
阳光之路国际商务网
阿拉山口商务信息网 /
再补充几个
美国全球商务公司 /index.php 全球技经贸信息网 .cn/other/quotation.jsp
核销单查询
集装箱进场信息查询
宁波港国际集装箱班轮作业计划 查询
出口船名航次查询
推荐访问: