web安全測(cè)試規(guī)范new

web安全測(cè)試規(guī)范new

ID:19644798

大小:1.96 MB

頁(yè)數(shù):63頁(yè)

時(shí)間:2018-10-04

web安全測(cè)試規(guī)范new_第1頁(yè)
web安全測(cè)試規(guī)范new_第2頁(yè)
web安全測(cè)試規(guī)范new_第3頁(yè)
web安全測(cè)試規(guī)范new_第4頁(yè)
web安全測(cè)試規(guī)范new_第5頁(yè)
資源描述:

《web安全測(cè)試規(guī)范new》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)

1、Web應(yīng)用安全測(cè)試規(guī)范Web應(yīng)用安全測(cè)試規(guī)范V1.2內(nèi)部公開(kāi)Web應(yīng)用安全測(cè)試規(guī)范大旗軟件有限公司DAQSOFTCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved2021-7-2華為機(jī)密,未經(jīng)許可不得擴(kuò)散第1頁(yè),共64頁(yè)WEB安全測(cè)試規(guī)范修訂聲明Revisiondeclaration本規(guī)范擬制與解釋部門:安全解決方案部電信網(wǎng)絡(luò)與業(yè)務(wù)安全實(shí)驗(yàn)室、軟件公司安全TMG、軟件公司測(cè)試業(yè)務(wù)管理部本規(guī)范的相關(guān)系列規(guī)范或文件:《Web應(yīng)用安全開(kāi)發(fā)規(guī)范》相關(guān)國(guó)際規(guī)范或文件一致性:《OWASPTestingGu

2、idev3》《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作廢的其它規(guī)范或文件:無(wú)相關(guān)規(guī)范或文件的相互關(guān)系:本規(guī)范以《Web應(yīng)用安全開(kāi)發(fā)規(guī)范》為基礎(chǔ)、結(jié)合Web應(yīng)用的特點(diǎn)而制定。版本號(hào)主要起草部門專家主要評(píng)審部門專家修訂情況V1開(kāi)發(fā)部開(kāi)發(fā)部DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范目錄

3、TableofContents1概述71.1背景簡(jiǎn)介71.2適用讀者71.3適用范圍71.4安全測(cè)試在IPD流程中所處的位置81.5安全測(cè)試與安全風(fēng)險(xiǎn)評(píng)估的關(guān)系說(shuō)明81.6注意事項(xiàng)91.7測(cè)試用例級(jí)別說(shuō)明92測(cè)試過(guò)程示意圖103WEB安全測(cè)試規(guī)范113.1自動(dòng)化Web漏洞掃描工具測(cè)試113.1.1AppScanapplication掃描測(cè)試123.1.2AppScanWebService掃描測(cè)試133.2服務(wù)器信息收集133.2.1運(yùn)行帳號(hào)權(quán)限測(cè)試133.2.2Web服務(wù)器端口掃描143.2.3HTTP方法測(cè)

4、試143.2.4HTTPPUT方法測(cè)試153.2.5HTTPDELETE方法測(cè)試163.2.6HTTPTRACE方法測(cè)試173.2.7HTTPMOVE方法測(cè)試173.2.8HTTPCOPY方法測(cè)試183.2.9Web服務(wù)器版本信息收集193.3文件、目錄測(cè)試203.3.1工具方式的敏感接口遍歷203.3.2Robots方式的敏感接口查找223.3.3Web服務(wù)器的控制臺(tái)23DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范3.3.4目錄列表測(cè)試243.3.5文件歸檔測(cè)試273.4認(rèn)證測(cè)試283.4.1

5、驗(yàn)證碼測(cè)試283.4.2認(rèn)證錯(cuò)誤提示293.4.3鎖定策略測(cè)試293.4.4認(rèn)證繞過(guò)測(cè)試303.4.5找回密碼測(cè)試313.4.6修改密碼測(cè)試313.4.7不安全的數(shù)據(jù)傳輸323.4.8強(qiáng)口令策略測(cè)試333.5會(huì)話管理測(cè)試353.5.1身份信息維護(hù)方式測(cè)試353.5.2Cookie存儲(chǔ)方式測(cè)試353.5.3用戶注銷登陸的方式測(cè)試363.5.4注銷時(shí)會(huì)話信息是否清除測(cè)試363.5.5會(huì)話超時(shí)時(shí)間測(cè)試373.5.6會(huì)話定置測(cè)試383.6權(quán)限管理測(cè)試393.6.1橫向測(cè)試403.6.2縱向測(cè)試413.7文件上傳下載測(cè)

6、試463.7.1文件上傳測(cè)試463.7.2文件下載測(cè)試473.8信息泄漏測(cè)試483.8.1連接數(shù)據(jù)庫(kù)的帳號(hào)密碼加密測(cè)試483.8.2客戶端源代碼敏感信息測(cè)試493.8.3客戶端源代碼注釋測(cè)試493.8.4異常處理50DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范3.8.5HappyAxis.jsp頁(yè)面測(cè)試513.8.6Web服務(wù)器狀態(tài)信息測(cè)試523.8.7不安全的存儲(chǔ)533.9輸入數(shù)據(jù)測(cè)試533.9.1SQL注入測(cè)試533.9.2MML語(yǔ)法注入553.9.3命令執(zhí)行測(cè)試563.10跨站腳本攻擊測(cè)試

7、563.10.1GET方式跨站腳本測(cè)試563.10.2POST方式跨站腳本測(cè)試573.11邏輯測(cè)試583.12搜索引擎信息收集593.13WebService測(cè)試593.14其他623.14.1class文件反編譯測(cè)試624APPSCAN測(cè)試覆蓋項(xiàng)說(shuō)明635附件645.1本規(guī)范所涉及的測(cè)試工具64DAQSoft2011第63頁(yè),共63頁(yè)WEB安全測(cè)試規(guī)范Web安全測(cè)試規(guī)范縮略語(yǔ)清單縮略語(yǔ)全稱CRLFr回車換行LDAPLightweight?Directory?Access?Protocol輕量級(jí)目錄訪問(wèn)

8、協(xié)議MMLman-machinelanguage人機(jī)交互語(yǔ)言SessionID標(biāo)志會(huì)話的IDWebServiceWeb服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù),通過(guò)標(biāo)準(zhǔn)的Web協(xié)議提供服務(wù),目的是保證不同平臺(tái)的應(yīng)用服務(wù)可以互操作。SOAPSimpleObjectAccessProtocol簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議XFSCrossFrameScript跨幀腳本XSSCrossSiteScript跨站腳本DAQSoft2

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。