28、利用用户交互进行 Web 应用深度测试

利用用户交互进行 Web 应用深度测试

1. 增加测试深度

提高扫描器覆盖率和有效性的一种方法是利用实际用户输入。具体操作如下：
- 收集输入 ：
- 可以在不同位置收集客户端提供的输入数据，比如在 Web 客户端和 Web 服务器之间部署代理，记录发送到 Web 应用的请求；或者在服务器端通过 Web 服务器日志文件或应用程序级日志记录传入请求。为简便起见，可直接在服务器记录请求，记录所有输入参数的名称和值。
- 可以在应用程序的常规功能测试期间记录输入。开发者通常会创建用于测试应用程序完整功能的测试用例，这些测试用例可直接供漏洞扫描器使用。也可以将收集组件部署在生产服务器上，让 Web 应用的真实用户生成测试用例。
- 收集输入的目标是获取从应用程序角度来看可能正确的输入，使扫描器能够访问仅通过爬网和用随机值填写表单难以到达的应用程序部分。不过，这种方法可能会引发对捕获数据性质的担忧，因为用户输入是以明文形式捕获和存储的。对于包含敏感信息（如密码和信用卡号）的情况，建议在受控测试环境中进行所有输入捕获和测试。
- 重放输入 ：
- 每个用例由一系列步骤组成，每个步骤的请求（即输入值）都已记录。漏洞扫描器可以根据这些输入值重放之前收集的用例，一次执行一个步骤。
- 每执行完一个步骤，就会调用模糊测试组件。该组件使用上一步发出的请求来测试应用程序，用畸形值数据库替换上一步请求中的有效输入。
- 发送请求后尝试对其进行模糊测试，然后使用当前步骤存储的先前记录的输入值进入下一步。这个过程会重复进行，直到测试用例耗尽，或者当模糊测试组件重放记录的输入进入下一页，但该页面与