最重要的Web服务器渗透测试清单

Web服务器渗透测试分为3个类别，即身份，分析，报告漏洞，如身份验证弱点，配置错误，协议关系漏洞。下面是一份WEB渗透测试建议清单。

1. “进行一系列有条理且可重复的测试”是测试Web服务器的最佳方法，以便处理所有不同的应用程序漏洞。
2. 关于组织的“尽可能多地收集”从操作环境开始，主要关注Web服务器笔测试的初始阶段。
3. 执行Web服务器身份验证测试，使用社会工程学技术收集有关人力资源，联系人详细信息和其他社交相关信息的信息。
4. 收集有关目标的信息，使用whois 数据库查询工具获取详细信息，如域名，IP地址，管理详细信息，自治系统编号，DNS等。
5. Web指纹服务器收集服务器名称，服务器类型，操作系统，服务器上运行的应用程序等信息，使用指纹扫描工具，如Netcraft，HTTPrecon，ID Serve。
6. 抓取网站以从网页收集特定信息，从不同渠道抓取(Google等)例如电子邮件地址
7. 枚举Web服务器目录  以提取有关Web功能，登录表单等的重要信息。
8. 执行目录遍历攻击以访问受限制目录，并从Web服务器根目录外部执行命令。
9. 执行漏洞扫描以识别网络中的弱点，使用漏洞扫描工具，如HPwebinspect，Nessus。并确定系统是否可以被利用。
10. 执行缓存中毒攻击以强制Web服务器的缓存刷新其实际缓存内容并发送将存储在缓存中的特制请求。
11. 执行HTTP响应拆分攻击，将恶意数据传递给易受攻击的应用程序，该应用程序包含HTTP响应头中的数据。
12. Bruteforce SSH，FTP和其他服务登录凭据以获得未经授权的访问。
13. 执行会话劫持以捕获有效的会话COOKIE和ID，使用Burp Suite等Hacking Tools， Firesheep，jhijack以及自动会话劫持。
14. 通过拦截信息改变最终用户和Web服务器之间的通信，执行MITM攻击以访问敏感信息。
15. 使用Webalizer，AWStats等工具检查Web服务器日志。

Microsoft建议的重要清单

服务

• 禁用不必要的Windows服务。
• 服务使用权限最少的帐户运行。
• 如果不需要，则禁用FTP，SMTP和NNTP服务。
• Telnet服务已禁用。

协议

• 如果应用程序未使用WebDAV，则禁用WebDAV;如果需要，则保护WebDAV。
• TCP / IP堆栈已加固
• NetBIOS和SMB被禁用（关闭端口137,138,139和445）。

帐号

• 未使用的帐户将从服务器中删除。
• 来宾帐户已被禁用。
• 如果应用程序未使用IUSR_MACHINE帐户，则会禁用该帐户。
• 如果您的应用程序需要匿名访问，则会创建自定义权限最低的匿名帐户。
• 匿名帐户没有对Web内容目录的写访问权限，也无法执行命令行工具。
• 强制执行服务器帐户和密码策略。
• 远程登录受到限制。（从Everyone组中删除“从网络访问此计算机”用户权限。）
• 管理员不共享帐户。
• 空会话（匿名登录）被禁用。
• 帐户委派需要批准。
• 用户和管理员不共享帐户。
• Administrators组中不超过两个帐户。
• 管理员需要在本地登录或远程管理解决方案是安全的。

文件和目录

• 文件和目录包含在NTFS卷上
• 网站内容位于非系统NTFS卷上。
• 日志文件位于非系统NTFS卷上，而不是位于网站内容所在的同一卷上。
• Everyone组受限制（无法访问\ WINNT \ system32或Web目录）。
• 网站根目录已拒绝为匿名Internet帐户写入ACE。
• 内容目录拒绝为匿名Internet帐户写入ACE。
• 远程管理应用程序已删除
• 资源工具包工具，实用程序和SDK已删除。
• 示例应用程序已删除

分享

• 删除所有不必要的共享（包括默认管理共享）。
• 限制访问所需的共享（Everyone组无权访问）。
• 如果不需要，则删除管理共享（C $和Admin $）（Microsoft Management Server（SMS）和Microsoft Operations Manager（MOM）需要这些共享）。

端口

• 面向Internet的接口仅限于端口80（如果使用SSL，则为443）
• Intranet流量已加密（例如，使用SSL）或受限制（如果您没有安全的数据中心基础架构）。

注册处

• 远程注册表访问受到限制。
• SAM是安全的（HKLM \ System \ CurrentControlSet \ Control \ LSA \ NoLMHash）。

审计和记录

•  审核失败的登录尝试。
•  IIS日志文件已重新定位并受到保护。
• 根据应用程序安全性要求，日志文件配置了适当的大小。
• 日志文件定期存档和分析。
• 将审核对Metabase.bin文件的访问权限。
• IIS配置为W3C扩展日志文件格式审核。

服务器证书

• 确保证书日期范围有效。
• 仅将证书用于其预期目的（例如，服务器证书不用于电子邮件）。
•  确保证书的公钥有效，一直到受信任的根颁发机构。
• 确认证书尚未被撤销。