logo资料库

Web安全测试规范.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:1.98M 资料格式:doc 举报 版权申诉
第1页 / 共63页
第2页 / 共63页
第3页 / 共63页
第4页 / 共63页
第5页 / 共63页
第6页 / 共63页
第7页 / 共63页
第8页 / 共63页
资料共63页,剩余部分请下载后查看
    1概述
    1.1背景简介
    1.2适用读者
    1.3适用范围
    1.4安全测试在IPD流程中所处的位置
    1.5安全测试与安全风险评估的关系说明
    1.6注意事项
    1.7测试用例级别说明
    2测试过程示意图
    3Web安全测试规范
    3.1自动化Web漏洞扫描工具测试
    3.1.1AppScan application扫描测试
    3.1.2AppScan Web Service 扫描测试
    3.2服务器信息收集
    3.2.1运行帐号权限测试
    3.2.2Web服务器端口扫描
    3.2.3HTTP方法测试
    3.2.4HTTP PUT方法测试
    3.2.5HTTP DELETE方法测试
    3.2.6HTTP TRACE方法测试
    3.2.7HTTP MOVE方法测试
    3.2.8HTTP COPY方法测试
    3.2.9Web服务器版本信息收集
    3.3文件、目录测试
    3.3.1工具方式的敏感接口遍历
    3.3.2Robots方式的敏感接口查找
    3.3.3Web服务器的控制台
    3.3.4目录列表测试
    3.3.5文件归档测试
    3.4认证测试
    3.4.1验证码测试
    3.4.2认证错误提示
    3.4.3锁定策略测试
    3.4.4认证绕过测试
    3.4.5找回密码测试
    3.4.6修改密码测试
    3.4.7不安全的数据传输
    3.4.8强口令策略测试
    3.5会话管理测试
    3.5.1身份信息维护方式测试
    3.5.2Cookie存储方式测试
    3.5.3用户注销登陆的方式测试
    3.5.4注销时会话信息是否清除测试
    3.5.5会话超时时间测试
    3.5.6会话定置测试
    3.6权限管理测试
    3.6.1横向测试
    3.6.2纵向测试
    3.7文件上传下载测试
    3.7.1文件上传测试
    3.7.2文件下载测试
    3.8信息泄漏测试
    3.8.1连接数据库的帐号密码加密测试
    3.8.2客户端源代码敏感信息测试
    3.8.3客户端源代码注释测试
    3.8.4异常处理
    3.8.5HappyAxis.jsp页面测试
    3.8.6Web服务器状态信息测试
    3.8.7不安全的存储
    3.9输入数据测试
    3.9.1SQL注入测试
    3.9.2MML语法注入
    3.9.3命令执行测试
    3.10跨站脚本攻击测试
    3.10.1GET方式跨站脚本测试
    3.10.2POST方式跨站脚本测试
    3.11逻辑测试
    3.12搜索引擎信息收集
    3.13Web Service测试
    3.14其他
    3.14.1class文件反编译测试
    4AppScan测试覆盖项说明
    5附件
    5.1本规范所涉及的测试工具
    DKBA DKBA 2355-2009.7 Web应用安全测试规范V1.2 2009年7月5日发布 2009年7月5日实施 版权所有 侵权必究 All rights reserved
    文档名称 文档密级 修订声明Revision declaration 本规范拟制与解释部门: 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务 管理部 本规范的相关系列规范或文件: 《Web应用安全开发规范》 相关国际规范或文件一致性: 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《 Information technology Security techniques Management of information and communications technology security》-ISO 13335 替代或作废的其它规范或文件: 无 相关规范或文件的相互关系: 本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。 版本号 主要起草部门专家 主要评审部门专家 修订情况 V1.1 V1.2 增加 Web Service、 上传、下载、控制 台等方面的测试规 范,更正 V1.1 一些 描述不准确的测试 项
    文档名称 文档密级 目 录 Table of Contents 1 2 3 概述......................................................................................................................................... 7 1.1 背景简介.................................................................................................................................7 1.2 适用读者.................................................................................................................................7 1.3 适用范围.................................................................................................................................7 1.4 安全测试在IPD流程中所处的位置..................................................................................8 1.5 安全测试与安全风险评估的关系说明............................................................................8 1.6 注意事项.................................................................................................................................9 1.7 测试用例级别说明...............................................................................................................9 测试过程示意图................................................................................................................. 10 WEB安全测试规范........................................................................................................... 11 3.1 自动化WEB漏洞扫描工具测试.......................................................................................11 3.1.1 AppScan application扫描测试...............................................................12 3.1.2 AppScan Web Service 扫描测试.........................................................13 3.2 服务器信息收集................................................................................................................. 13 3.2.1 运行帐号权限测试.................................................................................... 13 3.2.2 Web服务器端口扫描................................................................................14 3.2.3 HTTP方法测试.......................................................................................... 14 3.2.4 HTTP PUT方法测试.................................................................................15 3.2.5 HTTP DELETE方法测试.........................................................................16 3.2.6 HTTP TRACE方法测试...........................................................................17 3.2.7 HTTP MOVE方法测试.............................................................................17 3.2.8 HTTP COPY方法测试............................................................................. 18 3.2.9 Web服务器版本信息收集........................................................................19 3.3 文件、目录测试................................................................................................................. 20 3.3.1 工具方式的敏感接口遍历........................................................................20 3.3.2 Robots方式的敏感接口查找...................................................................22
    文档名称 文档密级 3.3.3 Web服务器的控制台................................................................................23 3.3.4 目录列表测试.............................................................................................24 3.3.5 文件归档测试.............................................................................................26 3.4 认证测试...............................................................................................................................27 3.4.1 验证码测试................................................................................................. 27 3.4.2 认证错误提示.............................................................................................28 3.4.3 锁定策略测试.............................................................................................29 3.4.4 认证绕过测试.............................................................................................30 3.4.5 找回密码测试.............................................................................................30 3.4.6 修改密码测试.............................................................................................31 3.4.7 不安全的数据传输.................................................................................... 32 3.4.8 强口令策略测试.........................................................................................33 3.5 会话管理测试......................................................................................................................34 3.5.1 身份信息维护方式测试............................................................................34 3.5.2 Cookie存储方式测试................................................................................35 3.5.3 用户注销登陆的方式测试........................................................................35 3.5.4 注销时会话信息是否清除测试............................................................... 36 3.5.5 会话超时时间测试.................................................................................... 37 3.5.6 会话定置测试.............................................................................................37 3.6 权限管理测试......................................................................................................................38 3.6.1 横向测试..................................................................................................... 39 3.6.2 纵向测试..................................................................................................... 40 3.7 文件上传下载测试............................................................................................................. 45 3.7.1 文件上传测试.............................................................................................45 3.7.2 文件下载测试.............................................................................................46 3.8 信息泄漏测试......................................................................................................................48 3.8.1 连接数据库的帐号密码加密测试...........................................................48 3.8.2 客户端源代码敏感信息测试....................................................................48 3.8.3 客户端源代码注释测试............................................................................49
    文档名称 文档密级 3.8.4 异常处理..................................................................................................... 49 3.8.5 HappyAxis.jsp页面测试...........................................................................51 3.8.6 Web服务器状态信息测试........................................................................52 3.8.7 不安全的存储.............................................................................................52 3.9 输入数据测试......................................................................................................................52 3.9.1 SQL注入测试.............................................................................................53 3.9.2 MML语法注入............................................................................................54 3.9.3 命令执行测试.............................................................................................55 3.10 跨站脚本攻击测试............................................................................................................. 56 3.10.1 GET方式跨站脚本测试..........................................................................56 3.10.2 POST方式跨站脚本测试.......................................................................57 3.11 逻辑测试...............................................................................................................................58 3.12 搜索引擎信息收集............................................................................................................. 58 3.13 WEB SERVICE测试............................................................................................................. 58 3.14 其他....................................................................................................................................... 61 3.14.1 class文件反编译测试.............................................................................61 4 5 APPSCAN测试覆盖项说明............................................................................................62 附件....................................................................................................................................... 63 5.1 本规范所涉及的测试工具................................................................................................63
    文档名称 文档密级 Web安全测试规范 缩略语清单 缩略语 CRLF LDAP MML 全称 \r\n回车换行 Lightweight Directory Access Protocol 轻量级目录访问协议 man-machine language 人机交互语言 SessionID 标志会话的ID Web Service Web服务是一种面向服务的架构的技术,通过标准的Web协议提供服务,目的是保 SOAP XFS XSS 证不同平台的应用服务可以互操作。 Simple Object Access Protocol 简单对象访问协议 Cross Frame Script 跨帧脚本 Cross Site Script 跨站脚本
    文档名称 文档密级 1 概述 1.1 背景简介 在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天,针对Web的攻击和破 坏不断增多,在线安全面临日益严峻的挑战,安全风险达到了前所未有的高度。 为了规避Web安全风险、规范Web安全开发,公司已经制定并发布了《Web 应用安全 开发规范》;但如何系统的进行Web安全性测试,目前缺少相应的理论和方法支撑。为此, 我们制定《Web 安全测试规范》,本规范可让测试人员针对Web常见安全漏洞或攻击方式, 系统的对被测Web系统进行快速安全性测试。 1.2 适用读者 本规范的读者及使用对象主要为Web相关的测试人员、开发人员、专职的安全测试评估 人员等。 1.3 适用范围 本规范主要针对基于通用服务器的Web应用系统,其他Web系统也可以参考,如基于嵌 入式系统的Web维护接口等。 如下图例说明了一种典型的基于通用服务器的Web应用系统:
    文档名称 客户端 文档密级 Web应用 Web服务器  IIS  Apache  …… 应用服务器 数据库服务器  Uniportal  Oracle  JBoss  ……  DB2  …… 本规范中的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借 鉴了一些业界最佳安全实践,涵盖Web安全开发规范的内容。 1.4 安全测试在 IPD 流程中所处的位置 一般建议在TR4前根据产品实现架构及安全需求,完成Web安全性测试需求分析和测试 设计,准备好Web安全测试用例。 在TR4版本正式转测试后,即可进行Web安全测试。如果产品质量不稳定,前期功能性 问题较多,则可适当推后Web安全测试执行,但最迟不得超过TR5。 1.5 安全测试与安全风险评估的关系说明 安全风险是指威胁利用脆弱性对目标系统造成安全影响的可能性及严重程度。其中威胁 (Threat)是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威胁等。脆 弱性(Vulnerability)也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中的弱 点等。外部威胁利用系统的脆弱性达到破坏系统安全运行的目的。 本规范所描述的安全测试仅是安全风险评估中的一个活动,对应于安全风险评估过程中 的脆弱性识别部分,特别是技术性的脆弱性识别。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料