目录设置对系统的安全性而言非常关键。日常生活中,很多人在一些应用系统中通过某些小手段总能看到本不该展现的数据信息。
【案例1 ECShop目录安全测试】
通过某商品的图片属性查看其网络路径,如ECShop商品图片的地址:
http://192.168.0.105/ecshop/images/201605/goods_img/70_G_1462955414630.jpg
分析上述路径结构可知,其上一级目录路径为“goods_img”,在浏览器直接键入对应的地址,如“http://192.168.0.105/ecshop/images/201605/goods_img”,可以访问所有图片信息列表,如图1所示,测试工程师如果发现类似的问题,应当及时提出缺陷。
图1 商品图片列表目录
AppScan扫描结果显示ECShop系统存在25个目录安全问题,如图2、图3所示。其他24个目录安全问题此处不一一列出,读者可利用AppScan自行测试验证。
图2 ECShop目录安全缺陷1
图3 ECShop目录安全缺陷2
除了上述目录安全文件,链接安全性也需关注,如果产品有防下载设置,测试工程师应当进行测试。
有些网络攻击,是通过系统的管理入口进行的。对于常见的管理员后台入口页面名称在设置目录时同样需要注意,不应将入口名称或路径做普通文件设置,应加以保护,如变换入口目录路径或重命名关键文件。例如,管理员入口地址“http://192.168.0.105/ecshop/admin”可改为“ttp://192.168.0.105/ecshop/eca”,以免用户轻易猜出入口地址。
【案例2 NBSI测试登陆入口安全】
利用NBSI工具探测ECShop管理登陆入口结果如图4所示。
图4 NBSI扫描网站管理后台结果