QQ乐园首页-提供最新QQ技术网以及QQ业务免费开通乐园网!

搜索

攻击会话管理系列-5

2017-9-4 14:04| 发布者: Hide| 查看: 116| 评论: 0

摘要: 测试随机性强度 某些时候,仅仅通过观察,或者通过适度的手动分析,就可以确定一系列令牌的模式。但是通常而言,需要使用更加严格的方法来测试应用程序令牌的随机性强度。 完成测试的标准方法是应用统计假设测试原则 ...

 测试随机性强度
  某些时候,仅仅通过观察,或者通过适度的手动分析,就可以确定一系列令牌的模式。但是通常而言,需要使用更加严格的方法来测试应用程序令牌的随机性强度。
  完成测试的标准方法是应用统计假设测试原则,并采用各种严格的测试查找令牌样本的非随机性。测试过程的主要步骤如下。
  (1)首先,假设令牌是随机生成的。
  (2)进行一系列测试,通过每个测试观察可能具有某些特征的令牌样本(如果令牌是随机生成的)的特定属性。
  (3)对于每个测试,假定以上假设是正确的,计算观察到的特征发生的机率。
  (4)如果该几率在某一水平(显著性水平)之下,则否定上述假设,并得出结论—一令牌不是随机生成的。
  幸运的是,并不需要手动完成上述步骤!当前,Burp Sequencer是测试Web应用程序令牌随机性的最佳工具。该工具可灵活进行各种标准测试,并为你提供易于解释的明确结果。
  要使用BLup Sequencer,需要从发布希望进行测试的令牌的应用程序中找到一个响应,如应用程序对发布包含会话令牌的新cookie的登录请求做出的响应。然后,从Burp的上下文菜单中选择“发送至sequencer”(send to sequencer),并在Sequencer配置中设置令牌在响应中的位置,还可以配置各种确定如何收集令牌的选项,然后单击“开始捕获”(startcapture】按钮,开始收集令牌。如果已经通过其他方法(例如,通过保存某次Burp btrud融击的结果)获得适当的令牌样本,则可以使用“手动加载”( manual load)选项卡跳过令牌收集过程,直接进
入统计分析阶段。
  获得适当的令牌样本后,就可以对样本进行统计分析了。还可以在收集样本的同时进行中间分析。一般来说,获得更多样本可提高分析的可靠性。Brup需要的最小样本大小为t∞个令牌,但最好是收集更多样本。如果在分析几百个令牌后,结论表明令牌没有通过随机性测试,那么,可以确定,设有必要再收集其他令牌。否则,继续收集令牌并定期重新进行分析。如果收集了5000个令牌,并且结论表明这些令牌通过了随机性测试,则可以确定这一数量已经足够。但是,为符合正式的FIPS随机性测试,需要获得20 00Vt令牌样本,这是B\up支持的最大样本大小。
  Burp Sequencer在罕符和位级别执行统计测试。所有测试结果将进行汇总,以对令牌中的有效熵的位数(这是需要考虑的关键结果)进行总体评估。但是,还可以深入分析每项测试的结果,了解令牌的不同部分如何以及为何通过或来通过每项测试。用于每类测试的方法
在测试结果下面进行丁说明。
  需要注意的是,Burp会对令牌中的每个字符和数据位单独进行所有测试。许多时候,你会发现,大部分的结构化令牌都不是随机的,这本身并不表示存在任何类型的缺陷。重要的是,令牌廊包含足以通过随机性测试的位数。例如,如果某个大令牌包含1000位信息,但其中只有50个位
通过了随机性测试,那么,总体而言,该令牌还不如一个完全通过随机性测试的50位令牌可靠。{注解在进行随机性统计刹试时,请记住两个要点。这些要点会影响你对测试结果的解释,并合影响应用程序的安全状态。首先,小完全确定的方式生成的令牌可能会通过随机性统计剐试。例如,线性同余伪随机数字发生器,或计算连续数字的散列的算法,可能套生成通过测试的输出。但是,如果攻击者了解该算法和发生器的内部状态,}就可讲非常准确地正向或逆向推断出它的输出。
    其班,未通过随机性统计测试的令牌实际上也许根本无法预测。如果令牌中的特定数据位没有通过测试,这只是说明在该位置观察到的数据住序列包含真正随机的令牌中不可能出现的特征。但是,如果尝试根据观察到的特征预测该数据住在下一个争牌中的值,这样的做法无异于盲目猜测。鉴于需要同时预刹托量数据住,作出正确预测的机率非常低。

http://www.qqhello.net/
普及network security意识 
不要对network security一无所知

鲜花

握手

雷人

路过

鸡蛋
返回顶部