資源描述:
《web安全測(cè)試規(guī)范new》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、Web應(yīng)用安全測(cè)試規(guī)范Web應(yīng)用安全測(cè)試規(guī)范V1.2內(nèi)部公開(kāi)Web應(yīng)用安全測(cè)試規(guī)范大旗軟件有限公司DAQSOFTCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved2021-7-2華為機(jī)密,未經(jīng)許可不得擴(kuò)散第1頁(yè),共64頁(yè)WEB安全測(cè)試規(guī)范修訂聲明Revisiondeclaration本規(guī)范擬制與解釋部門:安全解決方案部電信網(wǎng)絡(luò)與業(yè)務(wù)安全實(shí)驗(yàn)室、軟件公司安全TMG、軟件公司測(cè)試業(yè)務(wù)管理部本規(guī)范的相關(guān)系列規(guī)范或文件:《Web應(yīng)用安全開(kāi)發(fā)規(guī)范》相關(guān)國(guó)際規(guī)范或文件一致性:《OWASPTestingGu
2、idev3》《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作廢的其它規(guī)范或文件:無(wú)相關(guān)規(guī)范或文件的相互關(guān)系:本規(guī)范以《Web應(yīng)用安全開(kāi)發(fā)規(guī)范》為基礎(chǔ)、結(jié)合Web應(yīng)用的特點(diǎn)而制定。版本號(hào)主要起草部門專家主要評(píng)審部門專家修訂情況V1開(kāi)發(fā)部開(kāi)發(fā)部DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范目錄
3、TableofContents1概述71.1背景簡(jiǎn)介71.2適用讀者71.3適用范圍71.4安全測(cè)試在IPD流程中所處的位置81.5安全測(cè)試與安全風(fēng)險(xiǎn)評(píng)估的關(guān)系說(shuō)明81.6注意事項(xiàng)91.7測(cè)試用例級(jí)別說(shuō)明92測(cè)試過(guò)程示意圖103WEB安全測(cè)試規(guī)范113.1自動(dòng)化Web漏洞掃描工具測(cè)試113.1.1AppScanapplication掃描測(cè)試123.1.2AppScanWebService掃描測(cè)試133.2服務(wù)器信息收集133.2.1運(yùn)行帳號(hào)權(quán)限測(cè)試133.2.2Web服務(wù)器端口掃描143.2.3HTTP方法測(cè)
4、試143.2.4HTTPPUT方法測(cè)試153.2.5HTTPDELETE方法測(cè)試163.2.6HTTPTRACE方法測(cè)試173.2.7HTTPMOVE方法測(cè)試173.2.8HTTPCOPY方法測(cè)試183.2.9Web服務(wù)器版本信息收集193.3文件、目錄測(cè)試203.3.1工具方式的敏感接口遍歷203.3.2Robots方式的敏感接口查找223.3.3Web服務(wù)器的控制臺(tái)23DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范3.3.4目錄列表測(cè)試243.3.5文件歸檔測(cè)試273.4認(rèn)證測(cè)試283.4.1
5、驗(yàn)證碼測(cè)試283.4.2認(rèn)證錯(cuò)誤提示293.4.3鎖定策略測(cè)試293.4.4認(rèn)證繞過(guò)測(cè)試303.4.5找回密碼測(cè)試313.4.6修改密碼測(cè)試313.4.7不安全的數(shù)據(jù)傳輸323.4.8強(qiáng)口令策略測(cè)試333.5會(huì)話管理測(cè)試353.5.1身份信息維護(hù)方式測(cè)試353.5.2Cookie存儲(chǔ)方式測(cè)試353.5.3用戶注銷登陸的方式測(cè)試363.5.4注銷時(shí)會(huì)話信息是否清除測(cè)試363.5.5會(huì)話超時(shí)時(shí)間測(cè)試373.5.6會(huì)話定置測(cè)試383.6權(quán)限管理測(cè)試393.6.1橫向測(cè)試403.6.2縱向測(cè)試413.7文件上傳下載測(cè)
6、試463.7.1文件上傳測(cè)試463.7.2文件下載測(cè)試473.8信息泄漏測(cè)試483.8.1連接數(shù)據(jù)庫(kù)的帳號(hào)密碼加密測(cè)試483.8.2客戶端源代碼敏感信息測(cè)試493.8.3客戶端源代碼注釋測(cè)試493.8.4異常處理50DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范3.8.5HappyAxis.jsp頁(yè)面測(cè)試513.8.6Web服務(wù)器狀態(tài)信息測(cè)試523.8.7不安全的存儲(chǔ)533.9輸入數(shù)據(jù)測(cè)試533.9.1SQL注入測(cè)試533.9.2MML語(yǔ)法注入553.9.3命令執(zhí)行測(cè)試563.10跨站腳本攻擊測(cè)試
7、563.10.1GET方式跨站腳本測(cè)試563.10.2POST方式跨站腳本測(cè)試573.11邏輯測(cè)試583.12搜索引擎信息收集593.13WebService測(cè)試593.14其他623.14.1class文件反編譯測(cè)試624APPSCAN測(cè)試覆蓋項(xiàng)說(shuō)明635附件645.1本規(guī)范所涉及的測(cè)試工具64DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范Web安全測(cè)試規(guī)范縮略語(yǔ)清單縮略語(yǔ)全稱CRLFr回車換行LDAPLightweight?Directory?Access?Protocol輕量級(jí)目錄訪問(wèn)
8、協(xié)議MMLman-machinelanguage人機(jī)交互語(yǔ)言SessionID標(biāo)志會(huì)話的IDWebServiceWeb服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù),通過(guò)標(biāo)準(zhǔn)的Web協(xié)議提供服務(wù),目的是保證不同平臺(tái)的應(yīng)用服務(wù)可以互操作。SOAPSimpleObjectAccessProtocol簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議XFSCrossFrameScript跨幀腳本XSSCrossSiteScript跨站腳本DAQSoft2