資源描述:
《web安全測試規(guī)范new》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、Web應(yīng)用安全測試規(guī)范Web應(yīng)用安全測試規(guī)范V1.2內(nèi)部公開Web應(yīng)用安全測試規(guī)范大旗軟件有限公司DAQSOFTCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved2021-7-2華為機密,未經(jīng)許可不得擴散第1頁,共64頁WEB安全測試規(guī)范修訂聲明Revisiondeclaration本規(guī)范擬制與解釋部門:安全解決方案部電信網(wǎng)絡(luò)與業(yè)務(wù)安全實驗室、軟件公司安全TMG、軟件公司測試業(yè)務(wù)管理部本規(guī)范的相關(guān)系列規(guī)范或文件:《Web應(yīng)用安全開發(fā)規(guī)范》相關(guān)國際規(guī)范或文件一致性:《OWASPTestingGu
2、idev3》《信息安全技術(shù)信息安全風(fēng)險評估指南》《InformationtechnologySecuritytechniquesManagementofinformationandcommunicationstechnologysecurity》-ISO13335替代或作廢的其它規(guī)范或文件:無相關(guān)規(guī)范或文件的相互關(guān)系:本規(guī)范以《Web應(yīng)用安全開發(fā)規(guī)范》為基礎(chǔ)、結(jié)合Web應(yīng)用的特點而制定。版本號主要起草部門專家主要評審部門專家修訂情況V1開發(fā)部開發(fā)部DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范目錄
3、TableofContents1概述71.1背景簡介71.2適用讀者71.3適用范圍71.4安全測試在IPD流程中所處的位置81.5安全測試與安全風(fēng)險評估的關(guān)系說明81.6注意事項91.7測試用例級別說明92測試過程示意圖103WEB安全測試規(guī)范113.1自動化Web漏洞掃描工具測試113.1.1AppScanapplication掃描測試123.1.2AppScanWebService掃描測試133.2服務(wù)器信息收集133.2.1運行帳號權(quán)限測試133.2.2Web服務(wù)器端口掃描143.2.3HTTP方法測
4、試143.2.4HTTPPUT方法測試153.2.5HTTPDELETE方法測試163.2.6HTTPTRACE方法測試173.2.7HTTPMOVE方法測試173.2.8HTTPCOPY方法測試183.2.9Web服務(wù)器版本信息收集193.3文件、目錄測試203.3.1工具方式的敏感接口遍歷203.3.2Robots方式的敏感接口查找223.3.3Web服務(wù)器的控制臺23DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范3.3.4目錄列表測試243.3.5文件歸檔測試273.4認證測試283.4.1
5、驗證碼測試283.4.2認證錯誤提示293.4.3鎖定策略測試293.4.4認證繞過測試303.4.5找回密碼測試313.4.6修改密碼測試313.4.7不安全的數(shù)據(jù)傳輸323.4.8強口令策略測試333.5會話管理測試353.5.1身份信息維護方式測試353.5.2Cookie存儲方式測試353.5.3用戶注銷登陸的方式測試363.5.4注銷時會話信息是否清除測試363.5.5會話超時時間測試373.5.6會話定置測試383.6權(quán)限管理測試393.6.1橫向測試403.6.2縱向測試413.7文件上傳下載測
6、試463.7.1文件上傳測試463.7.2文件下載測試473.8信息泄漏測試483.8.1連接數(shù)據(jù)庫的帳號密碼加密測試483.8.2客戶端源代碼敏感信息測試493.8.3客戶端源代碼注釋測試493.8.4異常處理50DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范3.8.5HappyAxis.jsp頁面測試513.8.6Web服務(wù)器狀態(tài)信息測試523.8.7不安全的存儲533.9輸入數(shù)據(jù)測試533.9.1SQL注入測試533.9.2MML語法注入553.9.3命令執(zhí)行測試563.10跨站腳本攻擊測試
7、563.10.1GET方式跨站腳本測試563.10.2POST方式跨站腳本測試573.11邏輯測試583.12搜索引擎信息收集593.13WebService測試593.14其他623.14.1class文件反編譯測試624APPSCAN測試覆蓋項說明635附件645.1本規(guī)范所涉及的測試工具64DAQSoft2011第63頁,共63頁WEB安全測試規(guī)范Web安全測試規(guī)范縮略語清單縮略語全稱CRLFr回車換行LDAPLightweight?Directory?Access?Protocol輕量級目錄訪問
8、協(xié)議MMLman-machinelanguage人機交互語言SessionID標(biāo)志會話的IDWebServiceWeb服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù),通過標(biāo)準(zhǔn)的Web協(xié)議提供服務(wù),目的是保證不同平臺的應(yīng)用服務(wù)可以互操作。SOAPSimpleObjectAccessProtocol簡單對象訪問協(xié)議XFSCrossFrameScript跨幀腳本XSSCrossSiteScript跨站腳本DAQSoft2