在渗透测试中,针对铁路客票系统的API接口,请设计一套测试用例,并说明测试方法(如参数注入、认证绕过、权限提升)以及如何验证测试结果。
中国铁路信息科技集团有限公司网络安全技术研究2难度:中等
答案
1) 【一句话结论】针对铁路客票系统API,需结合系统通信协议(如HTTPS)、认证机制(如JWT),从参数注入、认证绕过、权限提升三个维度设计测试用例,通过构造符合业务约束的恶意请求并验证实际业务影响(如数据篡改、权限变更),全面评估安全风险。
2) 【原理/概念讲解】
- 参数注入:API的输入参数(路径、查询、请求体)是攻击入口,若未对参数进行有效过滤/转义,攻击者可注入恶意代码(如SQL注入、XSS)。核心是识别输入点并构造符合参数约束的恶意payload。
- 认证绕过:系统认证逻辑缺陷(如弱密码策略、会话管理缺陷),攻击者可绕过认证。关键在于验证认证机制(如JWT签名、Session会话)的完整性。
- 权限提升:角色模型或业务逻辑缺陷(如“普通用户”可访问“管理员”接口),攻击者通过漏洞获取更高权限。需分析角色关系与业务流程。
3) 【对比与适用场景】
| 测试方法 | 定义 | 特性 | 使用场景 | 注意点 |
|---|---|---|---|---|
| 参数注入 | 对API输入参数注入恶意代码(如SQL注入、路径参数篡改) | 需识别输入点,构造符合参数约束的payload(如日期格式、车次编码规则) | 查询类(车票查询)、修改类(订单修改)、管理类(用户信息查询) | 区分参数类型:路径参数直接嵌入URL(如/api/tickets/123),查询参数在URL后(如?date=2024-05-01),请求体参数在JSON/表单中;构造payload时需考虑边界条件(如路径参数长度限制,假设6位,构造无效但注入语句)。 |
| 认证绕过 | 通过弱密码策略(如密码复杂度低)、会话管理缺陷(如会话ID可预测)绕过认证 | 依赖认证逻辑缺陷,需模拟真实用户行为或会话劫持 | 登录接口、用户认证接口 | 需明确认证机制(如JWT、Session),构造弱密码(如123456)或预测会话ID(如连续数字)。 |
| 权限提升 | 利用角色模型缺陷(如“普通用户”访问“管理员”接口)或业务逻辑漏洞获取越权 | 需分析角色关系、业务流程,模拟权限链攻击 | 管理员接口、敏感操作接口(订单删除、用户信息修改) | 需明确角色权限矩阵,构造请求时携带较低权限用户的认证信息,验证是否执行高权限操作。 |
4) 【示例】以车票查询接口为例,路径参数train_id(6位数字字母编码,如“CRH123”),构造恶意路径参数:
- 接口:
GET /api/tickets/query/{train_id}?date=2024-05-01 - 测试方法:路径参数注入(SQL注入)
- 测试用例:构造恶意路径参数
/api/tickets/query/123' OR '1'='1(假设train_id为6位,构造无效但注入语句),发送请求。 - 验证:检查响应状态码(如500内部错误)、响应内容(如数据库错误信息,如“ORA-00904: invalid identifier”或“SQL syntax error”),或异常数据(如返回其他用户的车票信息)。
5) 【面试口播版答案】
“面试官您好,针对铁路客票系统的API接口,我设计的测试用例主要围绕参数注入、认证绕过和权限提升三个方向。首先,参数注入方面,比如针对车票查询接口的路径参数train_id(假设为6位数字字母编码),我会构造SQL注入payload(如123' OR '1'='1),通过发送恶意请求验证系统是否对参数进行有效过滤,比如是否返回数据库错误或异常数据。其次,认证绕过方面,我会测试登录接口是否存在弱密码策略(如密码复杂度低),或者会话管理缺陷(如会话ID可预测),通过模拟弱密码登录或会话劫持来验证是否绕过认证。然后,权限提升方面,我会分析角色模型,比如“普通用户”是否可以访问“管理员”的订单删除接口,通过构造请求验证是否成功执行管理员权限的操作。验证结果主要通过观察响应状态码(如401/403异常)、响应内容(如错误信息、权限提升后的操作结果)以及实际业务影响(如是否篡改了车票信息)来判断。总结来说,这套测试用例结合了铁路系统的特殊业务逻辑(如车次编码、日期约束),并考虑了API通信协议(HTTPS)和认证机制(如JWT),能全面覆盖关键漏洞点。”
6) 【追问清单】
- 问:如何识别API的输入点?是否需要结合工具和文档?
回答要点:通过API文档(如Swagger/OpenAPI)和工具(OWASP ZAP、Burp Suite)扫描,区分路径参数(直接嵌入URL)、查询参数(URL后?)、请求体参数(JSON/表单数据),分析每个参数的约束(如日期格式、车次编码规则)。 - 问:测试时如何处理铁路系统的数据敏感性(如用户信息、车票数据)?
回答要点:模拟最小权限原则,避免泄露关键数据,验证数据脱敏或访问控制的有效性,比如构造请求时使用测试账号,检查返回数据是否脱敏。 - 问:如何评估参数注入漏洞的严重性?
回答要点:根据漏洞类型(如SQL注入属于高危)、影响范围(是否影响大量用户)、业务影响(是否导致数据泄露或服务中断)来评估,比如SQL注入可能导致数据泄露或服务崩溃,属于高危。 - 问:测试工具的选择?自动化和手动测试如何结合?
回答要点:使用自动化工具(如OWASP ZAP、Burp Suite)进行参数扫描和认证测试,结合手动测试验证复杂逻辑(如权限提升),比如权限提升需要模拟业务流程,自动化工具可能无法覆盖。
7) 【常见坑/雷区】
- 忽略API通信协议(如HTTPS)对测试的影响,导致参数注入测试失效(如加密导致payload无法传递)。
- 未测试第三方系统集成接口(如支付系统、票务系统),遗漏外部系统引入的安全风险。
- 参数注入时未考虑边界条件(如路径参数长度限制),payload构造错误(如路径参数过长导致请求无效)。
- 验证仅看状态码,未检查实际业务影响(如权限提升后是否篡改了车票信息),导致漏洞被低估。
- 未明确认证机制(如JWT签名验证逻辑),导致认证绕过测试逻辑不严谨。